Ataques a Microsoft Exchange Server: 9 lecciones para …


Los expertos comparten su guía para las organizaciones que ejecutan servidores Trade en las instalaciones tras la rápida propagación de ataques.

Anterior

1 de 9

Próximo

(Imagen: Phonlamaiphoto - stock.adobe.com)

La divulgación de cuatro vulnerabilidades críticas de día cero en Microsoft Exchange Server sacudió a la comunidad de seguridad de la información la semana pasada, y un rápido aumento en la actividad de los ataques solo ha exacerbado las preocupaciones.

Los ataques que explotan las fallas se detectaron por primera vez en enero. Inicialmente eran limitados y apuntados, aparentemente para espionaje: los adversarios apuntaban principalmente a cuentas de correo electrónico específicas. Microsoft atribuyó la actividad a un grupo al que llama Hafnium, que se cree opera fuera de China.

Luego, durante el último fin de semana de febrero, los investigadores notaron un aumento significativo en la ejecución remota de código. Los atacantes escribían shells internet en el disco y lanzaban operaciones para volcar credenciales, agregar cuentas de usuario, robar copias de bases de datos de Energetic Directory y moverse lateralmente a otros sistemas. El aumento de la actividad, curioso para un grupo de ataque chino avanzado, hizo avanzar la línea de tiempo de los parches.

Microsoft implementó sus correcciones solo unos días después, y la actividad ha seguido aumentando. Investigación de Verify Level informes cientos de intentos de explotación contra organizaciones en todo el mundo, y el número de intentos de explotación se duplicó cada dos o tres horas en las 24 horas que finalizaron el 11 de marzo. Turquía es el país más atacado, seguido de Estados Unidos e Italia.

Los investigadores también han descubierto que hay mucho más de un grupo de ataque que explota estos defectos. Las empresas de seguridad, incluidas FireEye y Crimson Canary, están rastreando la actividad de ataque en grupos, y los investigadores de ESET informan que al menos diez grupos APT ya están utilizando las vulnerabilidades. Algunos, dicen, comenzaron a explotar las fallas antes de que se lanzaran los parches de Microsoft. De acuerdo a un informe del Wall Avenue Journal, Microsoft está investigando si uno de sus socios filtró información sobre los vulns antes de que fueran revelados públicamente.

Nueva información sobre los atacantes que escanean y explotan estas vulnerabilidades ha surgido casi todos los días desde que fueron reveladas. Microsoft informó más recientemente que una nueva amenaza de ransomware está dirigida a servidores Trade que ya se han visto comprometidos.

Aquí, profundizamos en la información que los defensores necesitan saber para proteger a sus organizaciones de esta amenaza que evoluciona rápidamente: por qué deberían estar preocupados, los desafíos con los parches y cómo buscar señales de compromiso. Siga leyendo para obtener más información.

Kelly Sheridan es la editora de own de Dark Studying, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Anterior

1 de 9

Próximo

Más información





Enlace a la noticia original