Detalles del ataque a Microsoft Exchange

Microsoft advirtió el viernes sobre ataques activos que explotan servidores Exchange sin parches llevados a cabo por múltiples actores de amenazas, ya que se cree que la campaña  ha infectado a decenas de miles de empresas, entidades gubernamentales en los EE. UU., Asia y Europa.

La compañía dijo que «continúa viendo un mayor uso de estas vulnerabilidades en ataques dirigidos a sistemas sin parche por parte de múltiples actores maliciosos más allá de HAFNIUM», lo que indica una escalada de que las brechas ya no son «limitadas y dirigidas» como se pensaba anteriormente.

Según el periodista independiente de ciberseguridad Brian Krebs, al menos 30.000 entidades en los EE.UU, Principalmente pequeñas empresas, pueblos, ciudades y gobiernos locales, se han visto comprometidas por un grupo chino «inusualmente agresivo» que se ha propuesto robar correos electrónicos de organizaciones de víctimas. explotando fallas previamente no reveladas en Exchange Server.

También se están reportando víctimas desde fuera de los EE. UU., Con sistemas de correo electrónico pertenecientes a empresas en Noruega y la República Checa afectados por una serie de incidentes de piratería que abusan de las vulnerabilidades. La Autoridad de Seguridad Nacional de Noruega dijo que ha implementado un escaneo de vulnerabilidades de direcciones IP en el país para identificar servidores Exchange vulnerables y «notificar continuamente a estas empresas».

Servidores Exchange sin parches en riesgo de explotación

Una explotación exitosa de las fallas permite a los adversarios ingresar a los servidores Microsoft Exchange en los entornos de destino y, posteriormente, permitir la instalación de puertas traseras no autorizadas basadas en la web para facilitar el acceso a largo plazo. Con múltiples actores de amenazas que aprovechan estas vulnerabilidades de día cero, se espera que las actividades posteriores a la explotación difieran de un grupo a otro en función de sus motivos.

Ataque cibernético de Microsoft Exchange

Microsoft corrigió los cuatro problemas de seguridad en cuestión como parte de una actualización de seguridad fuera de banda de emergencia el martes pasado, al tiempo que advirtió que «muchos actores estatales y grupos criminales se moverán rápidamente para aprovechar cualquier sistema sin parche».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), que emitió una directiva de emergencia advirtiendo de «explotación activa» de las vulnerabilidades, instó a las agencias gubernamentales que ejecutan versiones vulnerables de Exchange Server a actualizar el software o desconectar los productos de sus redes.

Múltiples clústeres detectados

El equipo de inteligencia de amenazas de Mandiant dijo que «observó múltiples casos de abuso de Microsoft Exchange Server en al menos un entorno de cliente» desde principios de año. La firma de ciberseguridad Volexity, una de las firmas acreditadas por descubrir las fallas, dijo que las campañas de intrusión parecían haber comenzado alrededor del 6 de enero de 2021.

No se sabe mucho sobre las identidades de los atacantes, excepto que Microsoft ha atribuido principalmente los exploits con gran confianza a un grupo al que llama Hafnium, un grupo calificado respaldado por el gobierno que opera desde China. Mandiant está rastreando la actividad de intrusión en tres clústeres, UNC2639, UNC2640 y UNC2643, y agrega que espera que el número aumente a medida que se detecten más ataques.