Seguridad Nacional declara "emergencia" el ataque a Microsoft Exchange

Seguridad Nacional ha declarado un ataque en curso contra Microsoft Exchange como una emergencia. Los ataques, que comenzaron a principios de esta semana, tienen como objetivo los servidores Microsoft Exchange, uniendo varios exploits de día cero para acceder a cuentas de correo electrónico seguras.

Seguridad Nacional: El ataque es un "riesgo inaceptable"

Seguridad Nacional emitida Directiva de emergencia 21-02 a última hora del 3 de marzo, entregando algunos antecedentes sobre el ataque a Microsoft Exchange.

Los socios de CISA han observado una explotación activa de las vulnerabilidades en los productos locales de Microsoft Exchange. Actualmente, no se sabe que ni las vulnerabilidades ni la actividad de explotación identificada afecten a las implementaciones de Microsoft 365 o Azure Cloud. La explotación exitosa de estas vulnerabilidades permite que un atacante acceda a los servidores Exchange locales, lo que les permite obtener acceso y control persistentes del sistema de una red empresarial.

La directiva luego explica que un ataque de esta naturaleza "presenta un riesgo inaceptable para las agencias del Poder Ejecutivo Federal Civil y requiere una acción de emergencia".

El Departamento de Seguridad Nacional ha establecido una fecha límite de las 12 p.m. EST del viernes 5 de marzo para que las agencias federales cumplan con los protocolos de análisis y mitigación establecidos en la directiva.

Actualmente, cada agencia debe identificar sus servidores Microsoft Exchange, completar un triaje forense de su sistema. memoria, registros y colmenas de registro, luego analice los resultados en busca de indicadores de robo de credenciales u otros compromisos.

Relacionado: Las mejores alternativas gratuitas a Microsoft Outlook

¿Quién ataca los servidores de Microsoft Exchange?

Microsoft ha apuntado la figura directamente a un grupo de piratería del estado-nación chino conocido como HAFNIUM. Por lo general, las empresas tardan un poco más en comprometerse a nombrar a un sospechoso, pero Microsoft tiene pocas dudas de que un "actor altamente capacitado y sofisticado" está detrás del ataque.

Microsoft Threat Intelligence Center (MSTIC) atribuye esta campaña con gran confianza a HAFNIUM, un grupo evaluado como patrocinado por el estado y operando fuera de China, basado en la victimología observada, tácticas y procedimientos.

Parte de la razón de esto es que el ataque de Microsoft Exchange agrupa cuatro vulnerabilidades previamente desconocidas. Puedes leer los detalles en el oficial Blog de seguridad de Microsoft.

Microsoft también señala que ha observado HAFNIUM interactuando con su suite Microsoft Office 365, buscando vulnerabilidades. También confirmó que este ataque no tiene relación con SolarWinds, el enorme ciberataque que afectó a múltiples agencias gubernamentales de EE. UU., Junto con varias empresas tecnológicas líderes.

Relacionado: Microsoft revela el objetivo real del ciberataque de SolarWinds

La buena noticia es que, si bien estos ataques continúan y representan una amenaza significativa contra Microsoft Exchange Server, el equipo de seguridad de Microsoft ya ha implementado una serie de parches para mitigar la vulnerabilidades.

Puede encontrar más detalles sobre los parches de Microsoft Exchange Server en el Sitio de Microsoft Tech Community, incluido cómo descargar e instalar las actualizaciones, así como cómo escanear sus servidores Exchange en busca de signos de compromiso.

6 formas sencillas de aumentar la seguridad en Microsoft Defender y Windows 10

Microsoft Defender es una herramienta de seguridad incorporada de Windows 10. Hágalo aún mejor con estas 6 mejoras de seguridad sencillas.

Sobre el Autor