Microsoft abordó recientemente cuatro vulnerabilidades de día cero en su servidor de correo electrónico Exchange. El impacto de las fallas es bastante alarmante, ya que la plataforma Exchange es una de las más populares en infraestructura empresarial.
Por otra parte, Microsoft cree que las fallas fueron explotadas activamente por un grupo de amenazas con sede en China conocido como Hafnium.. El grupo de piratería ha estado buscando acceso persistente a los sistemas de correo electrónico., microsoft dice. A pesar de que los ataques se describieron como limitados y dirigidos, otros grupos de amenazas también están aprovechando los días cero. Los indicios de ataques se remontan al comienzo de 2021.
Hackers de hafnio dirigidos a diversas instituciones
Vale la pena mencionar que esta es la primera vez que Microsoft menciona públicamente a los piratas informáticos de Hafnium.. Estos piratas informáticos se han dirigido a diversas instituciones y expertos., incluyendo bufetes de abogados, instalaciones educativas, ONG, investigadores de enfermedades.
Históricamente, Hafnium se dirige principalmente a entidades en los Estados Unidos con el propósito de filtrar información de varios sectores industriales., incluidos los investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, think tanks sobre políticas y ONG. Mientras que Hafnium tiene su sede en China, realiza sus operaciones principalmente desde servidores privados virtuales alquilados (VPS) en los Estados Unidos, dice Tom Burt, vicepresidente corporativo de seguridad del cliente & Confianza en Microsoft.
Microsoft ha trabajado rápidamente para parchear los exploits de Hafnium. Sin embargo, Se espera que otros actores del estado-nación y los piratas informáticos aprovechen los sistemas sin parches.. La aplicación de los parches lo antes posible minimizará el riesgo de cualquier compromiso relacionado con los días cero de Exchange..
Más sobre los cuatro días cero del servidor de correo de Exchange
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065
Las vulnerabilidades que afectan a Microsoft Exchange Server son CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065. Afortunadamente, Exchange Online no se ve afectado. Las versiones afectadas incluyen Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, y Microsoft Exchange Server 2019.
Los defectos se utilizan como parte de una cadena de ataque., Microsoft advierte. Para ser iniciado con éxito, un ataque requiere una conexión no confiable a un puerto de servidor Exchange específico, 443. Esta laguna se puede proteger restringiendo la conexión que no es de confianza, o configurando una VPN para separar el servidor del acceso externo. Sin embargo, estos trucos de mitigación solo ofrecen protección parcial. La compañía advierte que otras partes del ataque en cadena pueden desencadenarse si un atacante ya tiene acceso o puede convencer a un administrador para que ejecute un archivo malicioso..
Es curioso mencionar que el pasado mes de marzo, grupos de piratas informáticos patrocinados por el estado estaban explotando CVE-2020-0688, otra vulnerabilidad en los servidores de correo electrónico de Microsoft Exchange. Entonces, En Mayo, el servidor de Exchange fue atacado por el llamado troyano Valar. El ataque de malware estaba dirigido a víctimas principalmente en Alemania y EE. UU.. Se calificó como una amenaza avanzada entregada a los sistemas vulnerables en varias etapas..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: