viernes, 19 de marzo de 2021

Varios grupos de ciberdelincuentes explotan vulnerabilidades en Exchange

Ciberdelincuentes utilizan la vulnerabilidad de Exchange


      ESET la famosa empresa de seguridad informática ha descubierto que hay más de diez grupos APT explotando las vulnerabilidades de Microsoft Exchange comprometiendo servidores de correo. En un principio parecía que el grupo Hafnium era el que estaba explotando las vulnerabilidades de Exchange, aunque todo indica que realmente hay más grupos que estén explotando las vulnerabilidades, ya que ESTE ha descubierto que más de 5.000 servidores de correo se ha visto afectados por estos ataques.

Estas vulnerabilidades que afectan a Microsoft Exchange fueron parcheadas a principios de este mes para las versiones 2013, 2016 y 2019 de Exchange Server, unas vulnerabilidades que permitían al atacante ejecutar código remotamente. Además de poder ejecutar código de forma remota, los atacantes consiguen tomar control de los servidores Exchange sin la necesidad de las credenciales de autenticación.

Tras una investigación por parte de algunos centros de seguridad se encontró que los grupos APT estaban explotando estas vulnerabilidades antes de la publicación de los parches por parte de Microsoft, descartando de esta manera que los grupos estuvieran aplicando ingeniería inversa a las actualizaciones de Microsoft.

Los grupos que por el momento se ha detectado que han abusado del exploit son los siguientes: LuckyMouse, Calypso, Tick, Websiic, Winnti Group, Tonto Team, ShadowPad, Opera Cobalt Strike, Backdoors de IIS, Mikroceen y DLT Miner

De estos grupos destacan LuckyMouse, un grupo que utilizo estas vulnerabilidades como Zero-Day para comprometer un servidor de correo de una entidad gubernamental de Oriente Medio y Opera Cobalt Strik, el cual realizo el ataque a más de 650 servidores en Europa y EEUU escasas horas después de lanzarse el parche de seguridad.

Ahora mismo lo más recomendable es actualizar cualquier servidor de correo Exchange con los últimos parches de seguridad de Microsoft, tanto sea un servidor que no se encuentre conectado a Internet, como que este conectado.


No hay comentarios:

Publicar un comentario