Cómo el hack de Microsoft Trade podría afectar a su organización


Los ciberdelincuentes se apresuran a explotar cuatro errores de día cero en Exchange antes de que más organizaciones puedan corregirlos.

microsoft-exchange.png

Imagen: Microsoft

Se insta a las organizaciones que ejecutan Microsoft Exchange Server a que apliquen varias correcciones de errores al programa en respuesta a un ataque de un grupo de ciberdelincuentes chino. El ataque ha despertado preocupación entre todos, desde expertos en seguridad hasta la Casa Blanca.

A principios de la semana pasada, Microsoft reveló que un grupo con sede en China llamado Hafnium ha sido lanzar ciberataques contra organizaciones explotando cuatro vulnerabilidades de día cero en versiones locales de su software Exchange Server. Los ataques se llevan a cabo en tres pasos, según Microsoft.

En primer lugar, el grupo puede obtener acceso a un servidor de Exchange mediante el uso de credenciales de cuenta robadas o mediante el uso de vulnerabilidades para hacerse pasar por alguien que debería tener acceso. En segundo lugar, el grupo puede controlar el servidor comprometido de forma remota mediante la creación de un shell world-wide-web, una pieza de código malicioso que brinda a los atacantes acceso administrativo remoto. En tercer lugar, el grupo utiliza el acceso remoto para robar datos de la crimson de una organización.

El objetivo principal de Hafnium es exfiltrar información de organizaciones en diferentes industrias, como investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación top-quality, contratistas de defensa, grupos de expertos en políticas y organizaciones no gubernamentales. Aunque Hafnium está ubicado en China, el grupo ejecuta sus operaciones maliciosas principalmente a través de servidores privados virtuales alquilados en Estados Unidos, dijo Microsoft.

VER: Los 10 ciberataques más importantes de la década (PDF gratuito) (TechRepublic)

En respuesta al hack, Microsoft ha lanzado varias actualizaciones de seguridad para Exchange Server para mitigar las vulnerabilidades de día cero. Al señalar que las fallas afectan a Exchange Server 2013, 2016 y 2019, Microsoft ha instado a todas las organizaciones con estas versiones a parchear sus servidores lo antes posible, dando prioridad a los servidores externos.

«Recomendamos encarecidamente a todos los clientes de Exchange Server que apliquen estas actualizaciones de inmediato». Microsoft dijo en una publicación de blog site. «Trade Server es utilizado principalmente por clientes comerciales, y no tenemos evidencia de que las actividades de Hafnium estén dirigidas a consumidores individuales o que estos exploits afecten a otros productos de Microsoft. Aunque hemos trabajado rápidamente para implementar una actualización para los exploits de Hafnium, sabemos que muchos Los actores del estado-nación y los grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parche. La aplicación inmediata de los parches de hoy es la mejor protección contra este ataque «.

Las organizaciones afectadas también parecen ser las que están alojar sus propias instalaciones internas del servicio Outlook en la net (OWA) de Microsoft en lugar de utilizar la versión basada en la nube, según Reuters. Michael Isbitski, evangelista técnico de Salt Stability, calificó este truco de Microsoft Trade / OWA como un ataque bastante elaborado, y dijo a TechRepublic que sospecha que esto afectará a muchas organizaciones que aún operan su propia infraestructura de correo en lugar de usar un SaaS como Microsoft 365.

Reparar las fallas protegerá a su organización si aún no lo ha atacado. Pero aquellos que han sido atacados siguen siendo vulnerables a través de servidores infectados y las persistentes web shells que Hafnium puede usar como puerta trasera. Para ayudar a los usuarios de Exchange a saber si se han visto comprometidos, Microsoft recomienda dos acciones específicas: Verifique sus niveles de parches de Trade Server y escanee sus archivos de registro de Trade en busca de indicadores de compromiso. Un script de Microsoft puede escanear automáticamente sus servidores Trade en busca de IOC.

A entrada de blog site del equipo de Microsoft Exchange y una publicación del Centro de respuesta de seguridad de Microsoft ambos ofrecen detalles adicionales sobre la instalación y resolución de problemas de los parches y la investigación de IOC.

¿Qué pasa si su organización se ha visto comprometida?

«Parchear sus servidores Exchange evitará un ataque si su servidor Trade aún no se ha visto comprometido», dijo el director de tecnología de Vectra, Oliver Tavakoli. «Pero no deshará el punto de apoyo que los atacantes tienen en un servidor de Exchange ya comprometido. La solución no será easy: efectivamente requerirá hacer una copia de seguridad de los datos, volver a crear una imagen del servidor de Trade y eliminar la copia de seguridad de las cuentas que no deberían estar presentes. , restableciendo todas las contraseñas y secretos, y restaurando los datos de respaldo restantes «.

Por lo menos 30.000 organizaciones en los EE. UU. Han sido pirateadas Hasta ahora, debido a las fallas de Trade Server, varias fuentes dijeron al sitio de noticias de seguridad KrebsOnSecurity. En los días posteriores a la disponibilidad de los parches de Microsoft, Hafnium intensificó sus ataques a servidores Exchange sin parches en todo el mundo, según expertos en seguridad. Steven Adair, presidente de Volexity, una empresa que informó las vulnerabilidades a Microsoft, le dijo a KrebsOnSecurity que el grupo con sede en China se aceleró para buscar servidores de Trade que aún no estén protegidos por los parches de seguridad.

VER: Política de administración de parches (TechRepublic Quality)

El ataque contra Microsoft Trade es 1.000 veces más devastador que el ataque SolarWinds, dijo el CEO de Cybereason, Lior Div. Esto se debe a que Hafnium se dirigió a las pequeñas y medianas empresas, que son el motor de la economía mundial.

«Justo cuando estamos comenzando a doblar la esquina después de un año devastador, se lanza este ataque contra las pymes», dijo Div. «Este ataque es potencialmente incluso más dañino porque las pymes no suelen tener una postura de seguridad tan sólida, lo que permite que los actores de amenazas se aprovechen de los débiles y generen fuertes flujos de ingresos de esta manera».

Los ataques de Hafnium han provocado respuestas de diferentes agencias y departamentos gubernamentales en los EE. UU. La Agencia de Seguridad de Infraestructura y Ciberseguridad emitió una advertencia el 6 de marzo, aconsejando a las organizaciones que ejecuten el script de Microsoft para detectar IOC. Otro aviso de CISA indicó que todos los departamentos y agencias civiles federales que ejecutan productos locales de Microsoft Exchange deben actualizar o desconectar los productos de sus redes hasta que se apliquen los parches de Microsoft.

Incluso la Casa Blanca se ha involucrado. El viernes, la secretaria de prensa de la Casa Blanca, Jen Psaki, quien se refirió a las vulnerabilidades como «significativas» y las que «podrían tener impactos de gran alcance», citó Preocupaciones por el gran número de víctimas., según Reuters. El domingo, un funcionario de la Casa Blanca dijo que parches y mitigación no fueron suficientes para las organizaciones que ya estaban comprometidas e instó a aquellas con un servidor Exchange vulnerable a tomar medidas para determinar si habían sido atacadas.

Ver también



Enlace a la noticia original