Microsoft ha detectado recientemente múltiples exploits de "0-day" que están siendo utilizados para atacar las versiones locales de los servidores Microsoft Exchange (2010, 2013, 2016 y 2019) en ataques limitados y dirigidos. Microsoft aconseja a los equipos de TI de las empresas que evalúen su infraestructura de Exchange y parcheen los servidores vulnerables, siendo la primera prioridad los servidores accesibles desde Internet (por ejemplo, los servidores que publican Outlook en la web/Outlook Web App o Panel de Control de Exchange).
Para parchear las vulnerabilidades, los equipos de TI deben pasar a las últimas actualizaciones acumulativas de Exchange y luego instalar las actualizaciones de seguridad pertinentes en cada servidor de Exchange.
-
La ejecución del script Exchange Server Health Checker, que puede descargarse de GitHub (utilice la última versión), le indicará si está atrasado en las actualizaciones de su Exchange Server local. El script no es compatible con Exchange Server 2010.
-
También se recomienda que los equipos de seguridad evalúen si las vulnerabilidades estaban siendo explotadas utilizando los Indicadores de Compromiso publicados por Microsoft. El indicador le ayudará a determinar si sus servidores han sido comprometidos.
Ataques a servidores Exchange locales
Los ataques consistían en un actor de amenazas que utilizaba las vulnerabilidades para acceder a los servidores Exchange locales, lo que permitía el acceso a las cuentas de correo electrónico y permitía la instalación de malware adicional para facilitar el acceso a largo plazo a los entornos de las víctimas. Exchange Online no se ve afectado.
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) atribuye esta campaña con gran confianza a HAFNIUM, un grupo evaluado por el Estado y que opera desde China, según la victimología, las tácticas y los procedimientos observados. HAFNIUM se dirige principalmente a entidades de Estados Unidos de diversos sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en política y ONG.
Los enlaces a continuación dan una idea de las técnicas utilizadas para explotar las vulnerabilidades de los servidores Exchange. Al proporcionar esta información, Microsoft espera permitir una defensa más eficactiva contra cualquier ataque futuro contra sistemas sin parches.