La vulnerabilidad de Exchange que compromete los servidores para ataques futuros: cómo funciona y sus posibles parches

Exchange2
Sin comentarios Facebook Twitter Flipboard E-mail

El 2 de marzo, Microsoft lanzó unas actualizaciones de seguridad extraordinarias por unas importantes vulnerabilidades de Microsoft Exchange Server. Ahora, la compañía ha anunciado una herramienta de mitigación local de Microsoft Exchange (EOMT, por sus siglas en inglés, Exchange On-Premises Mitigation Tool) que  permite a todas las empresas que trabajen con Exchange poder aplicar, con un solo clic, estas actualizaciones de seguridad críticas.

Los peligros de la vulnerabilidad

La vulnerabilidad descubierta a principios de mes es especialmente grave. Tanto como para que Microsoft haya decidido lanzar varias actualizaciones de seguridad extraordinarias. Con estos errores, un atacante puede poner en peligro una red corporativa y robar información, cifrar datos para pedir un rescate o incluso ejecutar un ataque destructivo.

Pero, además, la compañía advierte que algunos de estos fallos podrían haber sido ya programados para usarlos en el futuro.

Sin embargo, aplicar todos estos parches puede no ser sencillo, especialmente si las empresas no tienen equipos dedicados de tecnología de la información o seguridad a aplicar las actualizaciones de seguridad relevantes.

Por eso Microsoft ha desplegado esta EOMT. La herramienta, probada en Exchange Server 2013, 2016 y 2019, es como una "mitigación provisional para los clientes que no están familiarizados con el proceso de revisión / actualización o que aún no han aplicado la actualización de seguridad de Exchange local".

Una vez descargada la herramienta, que incluye el último escáner de seguridad de Microsoft, se mitigará automáticamente la vulnerabilidad denominada CVE-2021-26855 en cualquier servidor Exchange en el que se implemente. Eso sí, Microsoft advierte que esta herramienta "no reemplaza la actualización de seguridad de Exchange, pero es la forma más rápida y sencilla de mitigar los mayores riesgos para los servidores Exchange locales conectados a Internet antes de la aplicación de parches”.

MEOT

Un ataque en cadena

Según explica Microsoft, estas vulnerabilidades se explotan formando una cadena de ataque. El ataque inicial requiere la capacidad de establecer una conexión que no sea de confianza con el servidor de Exchange, pero otras partes del ataque pueden desencadenarse si el atacante ya tiene acceso o obtiene acceso a través de otros medios.

Esto significa que las mitigaciones (como restringir las conexiones que no son de confianza o configurar una VPN) solo protegerán contra la parte inicial del ataque para cambiar la superficie del ataque o mitigarlo parcialmente. Por eso, asegura que solo instalando el parche se puede mitigarlo por completo.

De hecho, son varias las empresas de seguridad que afirman que los piratas informáticos están explotando estas vulnerabilidades. Según Microsoft, se están empleando para propagar ransomware, lo que está dejando que miles de servidores de correo electrónico estén en riesgo de sufrir ataques.

Microsoft advierte de que se ha detectado un nuevo tipo de malware de cifrado de archivos, llamado DoejoCrypt o DearCry, que usa las mismas cuatro vulnerabilidades que Microsoft vinculó con un nuevo grupo de piratería respaldado por China llamado Hafnium. Cuando se encadenan, las vulnerabilidades permiten a un pirata informático tomar el control total de un sistema vulnerable.

Microsoft señala que Hafnium era el grupo "principal" que explotaba estos defectos, probablemente para espionaje y recopilación de inteligencia.

Avisos de las agencias de seguridad

Como ha ocurrido otras veces, como con SolarWinds, algunas agencias estatales de seguridad han emitido diversos avisos para animar a las empresas a actualizar su software.

Tanto el FBI como CISA, la unidad asesora de ciberseguridad del gobierno federal, han advertido que las vulnerabilidades presentan un riesgo importante para las empresas. Mientras, la National Cyber Security Centre (NCSC) del Reino Unido ha confirmado que aproximadamente 7.000 servidores del país se han visto afectados por las vulnerabilidades, de los cuales solo la mitad ya están protegidos.

Parches para otras versiones

Las vulnerabilidades afectan a las versiones de Exchange Server 2013, 2016 y 2019. Microsoft ha decidido también actualizar Exchange Server 2010 y, según sus indicaciones, Exchange Online no se ve afectado.

Aunque Microsoft ha publicado correcciones de seguridad la semana pasada, pero los parches no expulsan a los piratas informáticos de los servidores ya vulnerados.

Inicio