Como propietarios de empresas, todos somos muy conscientes de la importancia de la tecnología en todos los sectores hoy en día. Hemos oído innumerables veces cómo la tecnología ayuda a impulsar la innovación y el crecimiento, mejora la comunicación en la organización y aumenta su ventaja sobre la competencia. Como advertencia, la nueva tecnología sigue teniendo vulnerabilidades. Recientemente, se han descubierto nuevos fallos de seguridad en los servidores Microsoft Exchange. Por eso publicamos este blog: como advertencia para cualquiera que utilice Microsoft Exchange Servers.

Su Microsoft Exchange Server puede ser vulnerable a un ataque

Somos muy conscientes de cuántas pequeñas empresas dependen de estos servidores para aumentar sus departamentos de TI. Y esto significa que muchas pequeñas empresas están en peligro. Más de 60.000 empresas y organizaciones se han visto comprometidas. Se trata de una amenaza mundial. Los hackers chinos están confirmados en atacar y explotar las vulnerabilidades de los servidores locales. Algo a lo que hay que prestar atención es que, si estás ejecutando Microsoft Exchange '13, '16 o '19 in situ, estos fueron los servidores vulnerables a los ataques.

Ataques y pirateos

En enero, Microsoft fue tuvo conocimiento de lo que se denominaron fallos de "día cero". Estos errores son fallos de los que se tiene conocimiento, pero que aún no se han abordado. Al descubrirse estos puntos débiles, existe una alta probabilidad de que se produzcan ataques y brechas. Esto significa que son altamente peligrosos para las organizaciones y empresas que poseen datos sensibles. El 2 de marzo Microsoft publicó actualizaciones para reparar los fallos de día cero y afirmó que sólo se había producido un número limitado de ataques dirigidos. A pesar de estas correcciones y parches, sigue existiendo un enorme potencial de ataques a servidores Exchange individuales. Esta amenaza se debe a la concienciación y a la velocidad de instalación de los parches. Esto significa que el número de víctimas aumenta a medida que los piratas informáticos siguen atacando sistemas sin parches.

¿Quién está detrás de estos hackeos?

Microsoft informó inicialmente que sus vulnerabilidades de día cero fueron explotadas por Hafnium, un grupo APT chino patrocinado por el Estado. El grupo logró los hackeos utilizando vulnerabilidades de día cero para obtener acceso a servidores Exchange. Como resultado, los hackers pueden acceder a cuentas de correo electrónico e instalar malware. Estos ataques crean un acceso a largo plazo para futuras brechas.

Hafnium tiene fama de atacar entidades estadounidenses de distintos sectores. Algunos de estos ataques incluían ONG, grupos de reflexión política, contratistas de defensa, instituciones de enseñanza superior, bufetes de abogados y centros de investigación de enfermedades infecciosas. Anteriormente, el grupo había atacado a sus víctimas mediante la explotación de vulnerabilidades de servidores orientados a Internet. Hafnium ha utilizado marcos de código abierto como Covenant, un software legítimo, para controlar los servidores. Tras obtener acceso a la red de la víctima, el grupo suele subir los datos robados a un sitio de intercambio de archivos.

Actualmente, Hafnium suele fracasar en sus intentos de comprometer las cuentas de sus clientes. Por desgracia, esto no hace que el problema sea menos grave. Hay que tener en cuenta que cada día intentan nuevos ataques. Normalmente, si los hackers quieren encontrar una forma de entrar, lo harán.

Otras amenazas de grupo

Desde el pirateo inicial por parte de Hafnium, otros grupos han explotado los fallos de los servidores MS Exchange. Se publicó un informe que declaraba al menos 10 grupos que están cazando servidores sin parchear.

¿Cuándo estaremos seguros?

Según DIVD (el Instituto Holandés para la Divulgación de Vulnerabilidades), se cree que hay al menos 46.000 servidores sin parchear aún en funcionamiento que corren el riesgo de ser fuertemente explotados. Según las estimaciones actuales, hasta el 40% de los servidores Exchange de los Países Bajos son susceptibles de sufrir ataques.

Proteja su negocio

Compruebe si su empresa utiliza servidores Microsoft Exchange. Si es así, o si no está seguro, siga leyendo. Si sabe que no ha actualizado su Exchange Server recientemente, hay algunas cosas que debería hacer inmediatamente. En primer lugar, las contraseñas que están guardadas en la memoria podrían ser vulnerables. Debe restablecer inmediatamente todas las contraseñas. A continuación, ejecute el último parche para su sistema. Como medida de seguridad, es posible que desee cambiar sus contraseñas después de ejecutar el parche. Lo que esto significa es que, cuando se producen brechas como ésta, no se puede estar demasiado seguro.

Pasos para proteger su servidor

Hay varias cosas que puede hacer para mejorar su protección:

  1. Parchee su sistema con las actualizaciones de Microsoft.
  1. Restablece todas las contraseñas y cambia todas las credenciales.
  1. Comprueba dos veces tu dispositivo de copia de seguridad. ¿Está bien el repositorio? ¿Lo has probado?
  1. Verifique su router. También debería comprobar su seguridad con su proveedor. Pregúntales cuándo actualizaron sus firmas por última vez.
  1. Escanee e investigue cualquier actividad maliciosa en sus servidores Exchange.
  1. Por último, si no está seguro de la seguridad de su red, restaure su servidor Exchange a un momento anterior a que se produjeran los ataques.

Si no está seguro de qué tipo de servidores está utilizando, o necesita ayuda para ejecutar el parche de actualización, para eso estamos nosotros. Estaremos encantados de ayudarle a averiguar si corre el riesgo de sufrir esta amenaza. Para ayudarle a tranquilizarse, póngase en contacto con nosotros hoy mismo.