La operación del FBI elimina de forma remota los proyectiles net de …



Una orden judicial autorizó al FBI a eliminar shells website maliciosos de cientos de máquinas vulnerables que ejecutan Trade Server en las instalaciones.

Una orden judicial autorizó una operación del FBI para eliminar los shells world-wide-web implementados en máquinas que ejecutan versiones locales de Microsoft Trade Server, informa el Departamento de Justicia.

Como parte de la operación, que autorizó la actividad de los servidores de correo electrónico en los Estados Unidos, el FBI copió y eliminó «los proyectiles web restantes de un grupo de piratería temprana» de los objetivos afectados. Los shells website podrían haberse utilizado para mantener y aumentar el acceso no autorizado a las redes si se dejaron en la máquina comprometida, dicen los funcionarios, que califican la operación de «exitosa».

La noticia de la operación llega aproximadamente seis semanas después de que Microsoft revelara fallas críticas de Exchange Server que desde entonces se han utilizado para atacar miles de redes en todo el mundo. Un atacante podría aprovechar las vulnerabilidades para ingresar a un servidor sin parches y robar sus datos.

En el momento en que lanzó los parches, Microsoft identificó a un grupo detrás de la actividad como Hafnium, un grupo patrocinado por el estado que opera fuera de China. Sin embargo, muchos más grupos también han comenzado a utilizar estas vulnerabilidades para implementar ransomware o ataques de criptominería, entre otras actividades.

Muchas organizaciones se apresuraron a corregir los errores: el 24 de marzo, Microsoft informó El 92% de las direcciones IP de Exchange globales habían sido parcheadas. Pero si bien la aplicación de un parche evitará compromisos futuros, no eliminará el código malicioso ya presente en una máquina. Los documentos judiciales revelados hoy citan informes de código abierto que afirman que puede haber al menos 60.000 clientes globales de Microsoft cuyos servidores Trade se vieron comprometidos con las vulnerabilidades.

Estos ataques a menudo comienzan con la implementación de un shell internet, que los atacantes pueden usar para comunicarse con las máquinas objetivo y distribuir archivos para infectarlos con malware adicional. Un escaneo público reveló que los shells web todavía estaban presentes en los servidores de destino. El tribunal no reveló números exactos sin embargo, un Departamento de Justicia lanzamiento publicado esta semana, dice que cientos de shells world-wide-web persistieron sin paliativos en las computadoras de EE. UU. y probablemente no se eliminarían.

«Según mi formación y experiencia, es poco probable que la mayoría de estas víctimas eliminen las carcasas net restantes porque las carcasas world-wide-web son difíciles de encontrar debido a sus nombres y rutas de archivo únicos o porque las víctimas carecen de la capacidad técnica para eliminarlas por sí mismas. «, escribió un agente especial del FBI (nombre redactado) en el orden solicitud.

La orden otorgó al FBI la autorización para buscar servidores Microsoft Trade comprometidos y desinstalar los shells world wide web presentes en ellos para evitar más actividad de ataque.

En los documentos de la corte, los funcionarios explican que el personal del FBI accedió a los world-wide-web shells, ingresó contraseñas, hizo una copia del world-wide-web shell y luego emitió un comando a través de cada uno de los world wide web shells a los servidores, indicándoles que eliminaran el net shell de la computadora de destino. En un proceso de prueba, el comando eliminó un shell website pero no afectó a otros archivos o servicios en un dispositivo. Los funcionarios señalan que este proceso tampoco corrigió ninguno de los días cero de Exchange Server.

«Aunque la operación de hoy tuvo éxito al copiar y eliminar esos shells net, no corrigió ninguna vulnerabilidad de día cero de Microsoft Trade Server ni buscó ni eliminó ningún malware adicional o herramientas de piratería que los grupos de piratas informáticos pudieran haber colocado en las redes de las víctimas mediante la explotación de web shells. «, dice el comunicado.

El FBI ahora está intentando ponerse en contacto con los propietarios u operadores de las máquinas de las que eliminó proyectiles net maliciosos. Aquellos con información de contacto disponible públicamente recibirán un mensaje de correo electrónico de una dirección de correo electrónico oficial de FBI.gov. Para aquellos cuyos datos de contacto no son públicos, el FBI intentará comunicarse con los proveedores para notificarlos.

Los ataques dirigidos a las vulnerabilidades de Trade Server están en curso, lo que representa un desafío importante para los defensores. Los funcionarios alientan a los administradores a revisar la guía de corrección de Microsoft para obtener más detalles sobre la detección, la corrección y el parcheo.

La noticia de la operación del FBI llega un día después de que Microsoft parcheó cuatro vulnerabilidades críticas más de Microsoft Trade Server. Todos estos fueron descubiertos por la Agencia de Seguridad Nacional y afectan las versiones de Exchange Server de 2013 a 2019. Dos tienen un puntaje CVSS de 9.8, más alto que los de las vulnerabilidades de día cero parcheadas el mes pasado, y tienen un vector de ataque de «purple», lo que significa es probable que se puedan usar con gusanos, al menos entre servidores Exchange.

Kelly Sheridan es la editora de private de Dim Reading through, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique