Brian Jackson - Fotolia

Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Microsoft libera herramientas a medida que aumentan los ataques a Exchange Server

Microsoft dijo que ha visto un aumento de los ataques a Exchange Server, así como más actores de amenazas más allá del grupo atacante Hafnium patrocinado por el estado chino.

Microsoft desarrolló nuevas herramientas de detección de amenazas para ataques relacionados con las vulnerabilidades de día cero de Exchange Server, ya que ha aumentado el número de organizaciones afectadas.

El gigante tecnológico lanzó dos herramientas de detección de amenazas en los últimos días para los clientes locales de Exchange Server potencialmente afectados por exploits causados ​​por una serie de días cero. Tras la divulgación inicial en la que Microsoft se refirió a los ataques como "limitados y dirigidos", varios medios de comunicación informaron el número de organizaciones afectadas en decenas de miles.

Una herramienta es un script, Test-ProxyLogon.ps1, que busca indicadores de compromiso (IOC) en los días cero relevantes. ProxyLogon se refiere a CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor revelada el 2 de marzo como uno de los cuatro días cero de Exchange Server. Si bien el nombre se refiere a una sola vulnerabilidad de día cero, está estrechamente relacionada con las otras vulnerabilidades reveladas y puede funcionar junto con ellas.

La otra herramienta busca shells web, que son scripts que otorgan a los actores de amenazas acceso remoto y, en algunos casos, control completo de un servidor comprometido. La publicación del blog del Centro de recursos de seguridad de Microsoft que cubre la herramienta y una lista de mitigaciones relacionadas con el ataque decía que "estas mitigaciones no son una remediación si sus servidores Exchange ya se han visto comprometidos, ni son una protección total contra el ataque".

Microsoft recomendó encarecidamente que todos los clientes de Exchange Server instalen las últimas actualizaciones de seguridad.

Los medios de comunicación informaron diferentes cifras sobre el número de organizaciones afectadas por la explotación de los días cero. Reuters citó una fuente anónima que calculó la estimación inicial en más de 20.000 organizaciones, mientras que KrebsOnSecurity informó que varias fuentes anónimas colocaron el número mucho más alto, al menos 30.000 organizaciones, solo en los EE.UU.

La única referencia pública reciente de Microsoft al número potencial de víctimas se produjo en una actualización de su blog inicial en la que se discutía que los días cero estaban siendo explotados por el grupo patrocinado por el estado chino Hafnium, y donde se lee que "Microsoft continúa viendo un mayor uso de estas vulnerabilidades ataques dirigidos a sistemas no parcheados por parte de múltiples actores maliciosos más allá de HAFNIUM".

Microsoft se negó a responder directamente a la solicitud de SearchSecurity de un recuento estimado de víctimas, pero un portavoz proporcionó el siguiente comentario:

"Estamos trabajando en estrecha colaboración con la CISA, otras agencias gubernamentales y empresas de seguridad, para asegurarnos de brindar la mejor orientación y mitigación posibles para nuestros clientes", dijo el vocero. "La mejor protección es aplicar actualizaciones tan pronto como sea posible en todos los sistemas afectados. Continuamos ayudando a los clientes brindándoles orientación adicional sobre investigación y mitigación. Los clientes afectados deben comunicarse con nuestros equipos de soporte para obtener ayuda y recursos adicionales".

Los ataques contra Microsoft Exchange Server han seguido una trayectoria similar a los ahora infames ataques SolarWinds, ataques de estados-nación que inicialmente se creía que eran de menor escala antes de que el alcance de las víctimas aumentara significativamente.

Investigue más sobre Protección de datos empresarial

Close