| | |

Microsoft Exchange Ataque: alerta de concientización

Vulnerabilidades de día cero fueron explotadas por atacantes patrocinados por el estado Chino en el Microsoft Exchange Ataque que afectó a más de 100.000 organizaciones.

Alerta de Concientización

Sinopsis del Ataque

Nombre: ataque de Microsoft Exchange Server.

Fecha: 5 de Enero de 2021 fue detectado el ataque. En 2 de Marzo de 2021 (aprox. 2 meses después) Microsoft conseguió ofrecer protección para este ataque. En 19 de Julio de 2021 Estados Unidos y varios países aliados (Unión Europea, Reino Unido, Australia, Canadá, Nueva Zelanda, Japón y la NATO) culparon públicamente a hackers afiliados al gobierno chino por este hackeo.

Objetivo: Gobiernos, organismos militares y otras organizaciones de diversos países del mundo (principalmente Estados Unidos, Reino Unido, Alemania) .

Localidad: escala global.

Resumen: Microsoft Exchage Server es una de las soluciones de correo electrónico y de colaboración empresarial que más se utiliza en el mundo. Fueron explotadas vulnerabilidades de día cero de esta plataforma por parte de atacantes altamente capacitados para implementar puertas traseras y malware en ataques generalizados.

Organización criminal sospechosa: grupo Hafnium.

Vector de ataque: vulnerabilidad de día cero, ransomware
Las vulnerabilidades críticas, conocidas en conjunto como ProxyLogon, impactan en las instalaciones de Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. Si se utilizan en una cadena de ataque, todas estas vulnerabilidades pueden provocar ejecución remota de código (RCE), secuestro de servidores, puertas traseras, robo de datos y, potencialmente, una mayor implementación de malware.

En una situación que recuerda al brote de ransomware WannaCry de 2017, el 12 de marzo de 2021, Microsoft dijo que una variante de ransomware conocida como DoejoCrypt / DearCry está aprovechando estos errores para implementar ransomware en servidores Exchange vulnerables.

Referencias: ZDNet Everything you need to know about the Microsoft Exchange Server hack

Microsoft Exchange Ataque: Contramedidas sugeridas

  • Obtener orientación de Microsoft y las autoridades del CERT.
  • Asegúrarse de que las copias de seguridad estén actualizadas y almacenadas en una ubicación de fácil recuperación que esté separada de la red de la organización.
  • Fue desarrollada una herramienta de mitigación local de Microsoft Exchange, disponible en GitHub para mitigar los mayores riesgos para los servidores Exchange locales conectados a Internet antes de la aplicación de parches.
  • Actualizar los parches de seguridad siguiendo las pautas de corrección de Microsoft. Están disponibles opciones interinas de parche en el caso que aplicar el parche no sea posible.
  • Vale resaltar que el hecho de que las correcciones se apliquen, no significa que los servidores no hayan sido bloqueados o comprometidos de otra manera. Por lo que es necesario realizar una evaluación integral de compromiso del sistema.

Microsoft Exchange Ataque: Material de Concientización

Frase para Guardar en el Bolsillo

“Hacer de nuestros planes algo oscuro e impenetrable como la noche.” – Sun Tzu, El Arte de la Guerra

Si querés conocer más recursos de CiberSergei para estar mejor preparado, te invito a que explores la sección de Hacks de Productividad. Si querés enviar un mensaje a CiberSergei, visita la página de contacto aquí.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *