Decenas de miles de organizaciones estadounidenses se ven afectadas por un hack de Microsoft Exchange en curso


Una calavera estilizada hecha de unos y ceros.

Decenas de miles de empresas con sede en EE. UU. Ejecutan servidores Microsoft Exchange detrás de la puerta por parte de actores de amenazas que roban contraseñas de administrador y explotan vulnerabilidades críticas en aplicaciones de correo electrónico y calendario. Microsoft lanzó parches de emergencia el martes, pero no hacen nada para desinfectar los sistemas que ya están en riesgo.

KrebsOnSecurity fue el primero en informar del ataque masivo. El reportero Brian Krebs citó a varias personas anónimas y calculó el número de organizaciones estadounidenses comprometidas en al menos 30.000. Ha habido al menos 100.000 organizaciones pirateadas en todo el mundo, según Krebs. Otros medios de comunicación, también citando fuentes no identificadas, siguieron rápidamente en publicaciones que informaban que el ataque había afectado a decenas de miles de organizaciones en los Estados Unidos.

Acepta el compromiso

«Este es el verdadero negocio», dijo Chris Krebs, ex director de la agencia de seguridad de infraestructura y ciberseguridad. dicho en Twitter con referencia a los ataques a Exchange local, también conocido como Outlook Web Access. «Si su organización ejecuta un servidor OWA que está expuesto a Internet, transigir entre el 26/02/03/03». Sus comentarios fueron acompañados por un tuit el jueves de Jake Sullivan, asesor de seguridad nacional del presidente Biden en la Casa Blanca.

El hafnio tiene compañía

Microsoft anunció el martes que los servidores locales de Exchange fueron pirateados en «ataques dirigidos limitados» por un grupo de piratería con sede en China al que el fabricante de software llama Hafnium. Tras la contribución de Brian Krebs el viernes, Microsoft actualizó su publicación para afirmar que «estas vulnerabilidades se utilizan cada vez más en ataques a sistemas sin parche por parte de múltiples actores maliciosos fuera de HAFNIUM».

Katie Nickels, directora de inteligencia de la firma de seguridad Red Canary, le dijo a Ars que su equipo encontró servidores de Exchange comprometidos por piratas informáticos que utilizan tácticas, técnicas y procedimientos que difieren significativamente de los del grupo de hafnio que Microsoft nombró. Dijo que Red Canary contó cinco «grupos que se ven diferentes». [though] Decir si las personas detrás de esto son diferentes o no es realmente desafiante y poco claro en este momento. «

En Twitter Red Canary dicho Algunos de los servidores Exchange comprometidos que la compañía ha rastreado ejecutaban malware que fue analizado por la otra firma de seguridad Carbon Black en 2019. El malware fue parte de un ataque que instaló un software de criptominería llamado DLTminer. Es poco probable que Hafnium instale una carga útil de este tipo.

Microsoft dijo que Hafnium es un grupo de piratería especializado con sede en China que se centra principalmente en robar datos de investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, empresas de defensa, grupos de expertos políticos y organizaciones no gubernamentales de EE. UU. Microsoft dijo que el grupo pirateó servidores explotando vulnerabilidades de día cero reparadas recientemente o utilizando credenciales de administrador comprometidas.

No está claro qué porcentaje de los servidores infectados son de Hafnium. Microsoft advirtió el martes que el simple hecho de aprovechar las vulnerabilidades hacía probable que otros grupos de piratas informáticos se unieran pronto a Hafnium. Si los grupos de ransomware aún no se encuentran entre los clústeres que ponen en riesgo los servidores, es casi inevitable que pronto lo estén.

Servidor de puerta trasera

Brian Krebs y otros informaron que decenas de miles de servidores Exchange se han visto comprometidos con un webshell que los piratas informáticos instalan una vez que obtienen acceso a un servidor. El software permite a los atacantes ingresar comandos administrativos a través de una ventana de terminal a la que se accede a través de un navegador web.

Los investigadores se aseguraron de que la simple instalación de los parches que Microsoft lanzó en la versión de emergencia del martes no hiciera nada para desinfectar los servidores que ya están detrás de la puerta. Las carcasas web instaladas y cualquier otro software malintencionado persistirán hasta que se eliminen de forma activa, idealmente mediante la reconstrucción completa del servidor.

Las personas que administran servidores Exchange en sus redes deben eliminar todo lo que están haciendo y examinar cuidadosamente sus equipos para detectar cualquier signo de compromiso. Microsoft ha enumerado los indicadores de compromiso aquí. Los administradores también pueden usar este script de Microsoft para probar si sus entornos se ven afectados.

La escalada de los ataques al servidor Exchange esta semana se produce tres meses después de que los expertos en seguridad expusieran el ataque de al menos nueve agencias federales y unas 100 empresas. El principal vector de infección fueron las actualizaciones de software del fabricante de herramientas de red SolarWinds. El hack masivo fue uno de, si no la– la peor manipulación informática en la historia de Estados Unidos. Es posible que Exchange Server reclame pronto esta distinción.

Todavía hay mucho que se desconoce. Por ahora, la gente haría bien en seguir el consejo de Chris Krebs de asumir que los servidores locales están comprometidos y actuar en consecuencia.



Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *