Ataque a servidores Microsoft Exchange podría ser mucho más grave de lo que se pensaba

Más de 100,000 organizaciones podrían estar corriendo servidores Microsoft Exchange infectados por código malicioso gracias a graves vulnerabilidades de día zero, se reveló mediante múltiples fuentes la semana pasada. La brecha de seguridad permite a los atacantes obtener credenciales de administración, tomar control de los sistemas y descargar malware. A pesar de que ya se lanzó un parche para solucionarlo, se estima que los atacantes infectaron de forma masiva a los sistemas mucho antes de que se hiciera público, por lo que ninguna organización se encuentra a salvo. Nueva información indicaría que Microsoft tardó más de dos meses en abordar esta grave vulnerabilidad.

Con el paso de los días, la situación parece estar volviéndose más grave de lo que parecía al comienzo y la responsabilidad de Microsoft mayor. El primero en notar la severidad del asunto fue Chris Krebs, ex director de la Agencia de Infraestructura y Seguridad de Estados Unidos, quien dijo el viernes en Twitter que alrededor de 30,000 empresas podrían estar afectadas, y que si alguna organización tuvo un servidor Outlook Web Access expuesto a la internet entre el 26 de febrero y el 3 de marzo, debería asumirse como vulnerada.

Esa cifra se duplicó durante el fin de semana, mientras grandes organizaciones como la Autoridad Bancaria Europea ya aceptaron ser víctimas del ataque.

Aparentemente, el personal de Microsoft habría estado enterado hace mucho de las vulnerabilidades y no actuó a tiempo. El mismo Krebs diseñó una línea de tiempo de la amenaza que actualmente asalta a los servidores Exchange, descubriendo —según refirió la misma Microsoft—, que la empresa fue notificada durante los primeros días de enero por un investigador de la firma de seguridad DEVCORE de las primeras dos vulnerabilidades. El 6 de enero, la firma de análisis de seguridad Volexity identificó ataques que aprovecharon las fallas e informó a Microsoft el 2 de febrero. Otra empresa afectada que reportó la situación fue Dubex, el 27 de enero, aclarando que detectó un backdoor de tipo web shell que se instaló mediante el módulo de mensajería unificada de Exchange, un componente que permite a las organizaciones almacenar mensajes de voz y faxes junto a la información de correo electrónico, calendarios y contactos en las casillas de correo de los usuarios, lo que habría permitido ejecutar el ataque.

De acuerdo con el CTO de Dubex, Jacob Herbst, Microsoft escaló el problema el 8 de febrero, pero no confirmó que la vulnerabilidad era de día cero hasta que publicó una solución el 2 de marzo.

Un década vulnerables

Ese día, Microsoft lanzó un parche para las cuatro vulnerabilidades e hizo público que los servidores on premises de Exchange estaban siendo objetivo de ataques limitados por un grupo de hackers chinos llamado Hafnium. Luego corrigió esta declaración para aclarar que los agentes maliciosos iban más allá de este grupo específico. Lo que más saltó a la vista es que los parches liberados van desde la versión 2010 de Exchange hasta la de 2019, lo que implica que las vulnerabilidades existían desde hace por lo menos una década. Microsoft Exchange 2010 ni siquiera está soportado actualmente por la compañía, así que la vulnerabilidad fue suficientemente grave como para hacer una excepción.

Se vuelve también menos comprensible cómo una vulnerabilidad así de extendida tardó dos meses en recibir un parche, especialmente por lo que esto implica: Diversos expertos en ciberseguridad concluyeron que lo primero que hicieron los grupos en conocimiento del exploit fue penetrar las defensas de tantas empresas como encontraron, dejando backdoors para regresar luego a atacarlas.

Por otro lado, si bien los parches solucionan el problema de acceso a los sistemas, no hacen nada para desinfectar los equipos que ya fueron afectados. Es más, se detectó un incremento de ataques después de que se liberara el parche, que responde a un intento por infectar la mayor cantidad de organizaciones antes de que apliquen la actualización.

Hasta el momento de cierre de este artículo, Microsoft no respondió a una solicitud de información referente al ataque y sus consecuencias potenciales en México. La declaración oficial dice que se encuentran trabajando de cerca con la agencia de ciberseguridad de Estados Unidos y compañías de seguridad para asegurar que están proveyendo la mejor guía y mitigación para sus clientes. “La mejor protección es aplicar los parches cuanto antes posible, en todos los sistemas afectados. Los clientes vulnerados deben contactar a nuestro equipo de soporte para obtener ayuda adicional”.

¿Qué hacer?

Microsoft está pidiendo a los administradores IT que apliquen los parches de seguridad de forma inmediata, pero advierte que esto no es una solución para los servidores que ya fueron infectados por backdoors o malware. También recomiendan una serie de acciones para mitigar los daños, y publicaron un script en GitHub que permite rastrear los indicadores de compromiso (IOC) de las vulnerabilidades en los sistemas.

 

 

Christopher Holloway

http://salalacalleymuere.tumblr.com

Director editorial de IT Masters Mag. Experto en gatos, libros y en los intrincados procesos tecnológicos que atraviesan el funcionamiento de las sociedades en todas sus expresiones.

Related posts

Deja un comentario