Skip to main content

Microsoft advierte que incluso después de aplicar parches, sus servidores de Exchange pueden seguir siendo atacados

Ataque de día cero
(Crédito de imagen: Shutterstock.com)

El análisis de Microsoft de la serie de ataques que aprovechan las vulnerabilidades de día cero (ya reparadas) en los servidores de Exchange revela que la amenaza no se acaba simplemente con aplicar parches.

El grupo de amenazas Hafnium, patrocinado por el estado chino, fue culpado por ser el primero en aprovechar las vulnerabilidades conocidas como vulnerabilidades de ProxyLogon. Funciones como la herramienta de un solo clic de Microsoft han ayudado a asegurar que más del 90% de los servidores, sobre todo en pequeñas empresas que carecen de equipos de seguridad y TI dedicados, hayan solucionado por fin las vulnerabilidades. Sin embargo, el ataque sigue estando lejos de terminar.

“Muchos de los sistemas comprometidos todavía no han recibido un ataque secundario como amenazas de ransomware controladas por humanos o exfiltración de datos, lo cual indica que los ciberdelincuentes podrían estar estableciendo y manteniendo su acceso para posibles acciones en el futuro”, advirtió la compañía.

¿Segunda ola de malware?

Aunque a la mayoría de los servidores ya se les ha aplicado un parche, el motivo de preocupación son los informes de expertos en seguridad como ESET, los cuales han observado que han sido más de 5.000 los servidores comprometidos.

Durante las semanas que siguieron a la divulgación de las vulnerabilidades y el lanzamiento de los parches, los investigadores de seguridad detectaron varios ataques en los servidores de Exchange, como el ataque de ransomware DearCry controlado por humanos.

En una entrada de blog, el Equipo de Inteligencia de Defensa contra Amenazas de Microsoft 365 ha compartido "tendencias de amenazas", las cuales han sido observadas como parte de su investigación de los ataques.

Además de los ataques controlados por humanos que impulsan malware en forma de ransomware en los servidores, el equipo también ha detectado varios casos de ataques de web shell y robo de credenciales. De modo que los investigadores creen que estos podrían aprovecharse potencialmente para llevar a cabo ataques de seguimiento.

Además, han compartido un análisis detallado de varias actividades conocidas posteriores a dicha transgresión, así como pedido urgentemente a los administradores que borren sus credenciales para evitar que los propulsores de amenazas recuperen el acceso a los servidores.

También han publicado herramientas y guías para ayudar a eliminar web shells conocidas y herramientas de ataque, y además han compartido algunas de las mejores prácticas para ayudar a los administradores a ejecutar servidores con privilegios mínimos para minimizar el daño en caso de una transgresión.

Fuente: ZDNet