Fronteras obligatorias: cómo lidiar con las vulnerabilidades de Exchange - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Fronteras obligatorias: cómo lidiar con las vulnerabilidades de Exchange

Hola, ¿qué tal colega?. Soy Eduardo Arroyo y en el día de hoy te voy a hablar sobre Fronteras obligatorias: cómo lidiar con las vulnerabilidades de Exchange


InfoSec Insider

Fronteras obligatorias: cómo lidiar con las vulnerabilidades de Exchange

Matt Bromiley, consultor principal senior de Mandiant, ofrece listas de verificación sobre cómo las pequeñas y medianas empresas (PYMES) pueden identificar y eliminar infecciones de Microsoft Exchange ProxyLogon.

Recientemente, el público se dio cuenta de varias vulnerabilidades («ProxyLogon») que afectaron al Exchange Server local de Microsoft, una aplicación de software que se utiliza en todo el mundo para administrar las comunicaciones de los empleados. Desde entonces, muchos en la industria de la seguridad se han dado cuenta de que los atacantes estaban al tanto de estas vulnerabilidades hasta dos meses antes del anuncio. basado en informes actuales. De hecho, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) órganos consultivos para buscar compromisos que se remontan al 1 de septiembre.

Tras la divulgación de estas vulnerabilidades, la gravedad de esta situación siguió empeorando. En general, se reconoce que el número de organizaciones potencialmente interesadas es de decenas de miles, y solo se trata de organizaciones con sede en EE. UU. Mandiant confirma que el alcance de este ataque se extiende más allá de los Estados Unidos y esperamos que el recuento final sea más alto que las estimaciones actuales.

Es raro que un software tan ubicuo como Exchange Server sufra un cuarteto de vulnerabilidades graves y fáciles de explotar. La gravedad de esta situación se agrava si se tiene en cuenta que la mayoría de las organizaciones que utilizan Exchange Server son probablemente pequeñas y medianas empresas (PYMES) sin personal de seguridad de TI interno o muy pequeño, lo que dificulta la respuesta adecuada a esta situación. Es en esta misma niebla que los atacantes han creado una industria ilegítima de miles de millones de dólares que hace uso de organizaciones inconscientes, desprevenidas y, a menudo, mal informadas.

Este incidente debe servir como una llamada de atención de que la seguridad de la información es una responsabilidad de todos nosotros y debemos hacer todo lo posible para ayudar a la mayor cantidad de personas posible si tenemos los medios. Para organizaciones que ejecutan Exchange Server pero que actualmente se encuentran en «¿Qué debo hacer ahora?» paso, hemos diseñado la siguiente lista de verificación informativa. El propósito de esta lista no es acusar ni culpar, sino informar.

Las cuatro vulnerabilidades descritas en las comunicaciones de Microsoft hasta la fecha no parecen afectar los servicios de Exchange Online u Office 365.

Si tiene un equipo físico local que ejecuta Exchange, o es posible que alguien haya implementado Exchange en la nube, su organización puede estar en riesgo. Si bien ambos son productos oficiales de Microsoft, tenga en cuenta que un Exchange Server alojado en la nube es diferente de Exchange Online, que es una solución completamente basada en la nube.

Una o más de las vulnerabilidades reveladas recientemente ofrecen a los atacantes la capacidad de:

  • Autentíquese en su servidor Exchange sin conocer las credenciales válidas.
  • Abusar de su servidor Exchange para ejecutar código malicioso o crear archivos, lo que permite a los atacantes acceder al sistema comprometido incluso después de la aplicación de parches.
  • Utilice este inicio de sesión fraudulento para robar credenciales de administrador y / o crear sus propias cuentas.
  • Leer, descargar y eliminar correos electrónicos.
  • Un atacante también podría aprovechar estas vulnerabilidades para moverse a otros sistemas dentro de la red. Depende de cómo y dónde se implementó Exchange, y vale la pena hablar con su proveedor de TI local o subcontratado.

Desafortunadamente, el conocimiento y la capacidad para explotar estos ataques ha llegado a una audiencia global. Esto significa que incluso si sus datos no han sido robados en los últimos meses, puede ser vulnerable al robo o impacto de datos en un momento posterior. Entonces, la necesidad de comenzar a limpiar es ahora.

[] ¿Tenemos Microsoft Exchange?

[] Si es así, ¿qué tipo de distribución tenemos?

[] Si tenemos Exchange local, ¿dónde está alojado? ¿En un sistema físico al que podamos acceder o en la nube?

Si tiene Exchange local o una versión de Exchange basada en la nube, el siguiente paso es cerrar las vulnerabilidades utilizando parches de software lanzados por Microsoft:

  • Si confía en un proveedor de TI externo para parchear, asegúrese de que estén parcheando sus sistemas lo antes posible.

Si necesita parchearse usted mismo, vaya a Microsoft sitio web y siga sus instrucciones. Deberá descargar e instalar parches, pero el impacto en su servidor Exchange debería ser mínimo.

[] ¿Parchamos nuestros servidores o lo hace un proveedor de TI por nosotros?

[] Proveedor de TI: ¿Está mi organización en una lista de prioridades para recibir parches lo antes posible?

[] Parche usted mismo: ¿Descargamos e instalamos los parches?

[] Cree un plan de 30 días: póngase en contacto con una empresa de seguridad de TI local o descubra cómo reforzar el acceso a Exchange para estar mejor protegido en el futuro.

Desafortunadamente, aún no hemos terminado. Si bien la aplicación de parches y el refuerzo pueden ayudar a mitigar los problemas que surgieron en estas vulnerabilidades, es posible que ya existan archivos maliciosos en Exchange Server. Hemos visto a los atacantes distribuir estos archivos (conocidos como «web shells») en masa y comprometer miles de servidores al mismo tiempo.

Dependiendo de su comodidad con la seguridad, es posible que deba solicitar ayuda aquí. Si tiene una relación o un proveedor de seguridad de TI de buena reputación y conocimiento, comuníquese con ellos para ver si pueden ayudarlo a realizar una revisión de su sistema. Es probable que le proporcionen un script que puede ejecutar en su servidor Exchange y que producirá datos útiles para determinar el compromiso.

Si se siente lo suficientemente cómodo como para verificar su sistema usted mismo, aquí hay algunos recursos que puede usar cuando busque archivos maliciosos y acceso persistente:

[] Proveedor de seguridad de TI: ¿Existe un script que podamos ejecutar en nuestro sistema para identificar archivos maliciosos? ¿El script también nos ayuda a identificar el acceso potencial al sistema por parte de un atacante?

[] Protección autodirigida: utilice uno de los recursos anteriores para buscar archivos maliciosos en sus servidores Exchange y eliminarlos. Siga investigando, utilizando los mismos recursos, para determinar si los atacantes tuvieron acceso a sus datos o sus sistemas.

[] Si se confirma alguna de las condiciones anteriores: realice un análisis forense para determinar el impacto. Esto puede requerir ayuda externa.

En este punto, ha realizado la mayor clasificación inicial posible para determinar si sus servidores de Exchange se han visto comprometidos. Para algunos, esto puede ser solo el comienzo. Es posible que sea necesario iniciar una investigación para determinar a cuántos datos pueden haber accedido los atacantes. Para otros, mitigar y eliminar algunos caparazones web podría ser todo lo que necesita hacer. En ambas situaciones, ha dado un paso adelante para aumentar la dificultad para los atacantes, lo cual es importante.

Para obtener más información, consulte estos recursos:

.

Puedes compartir en tu Facebook para que tus amigos lo consulten

??? ? ? ???

Comparte