Microsoft Exchange sigue necesitando su atención

Todavía no se ha dicho la última palabra sobre las recientes vulnerabilidades de Microsoft Exchange y Hafnium, un grupo de hackers afiliado al estado chino cuyo principal objetivo es el espionaje. Lamentablemente, resulta que no podemos dejar atrás la situación todavía.

¿Qué pasó?

Los hackers accedieron a un entorno de Exchange a través de una vulnerabilidad en Microsoft Exchange y configuraron la persistencia. Después de esto, obtuvieron las credenciales necesarias, pudieron descifrar los datos del sistema y recopilar datos. Básicamente, se utilizaron cuatro vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065) para ello. La primera vulnerabilidad permite el acceso autentificado al servidor Exchange. Las otras tres permitían utilizar este acceso para escribir archivos en el servidor y ejecutar código.

Estas CVE se anunciaron hace casi un mes y los parches de Microsoft también están disponibles desde hace varias semanas. Sin embargo, no todas las empresas han conseguido parchear su servidor Exchange. Así que, por desgracia, es muy posible que su propia organización haya sido víctima de un intruso “furtivo” sin darse cuenta. Como es lógico, los parches aplicados a posteriori no servirán para detener a un atacante que puede haber penetrado ya en el sistema. Si quiere estar seguro de que está a salvo, tendrá que buscar activamente una posible brecha, para poder tomar las medidas necesarias.

¿Por qué es importante?

Un hecho crítico es que la persistencia previa y las credenciales adquiridas también pueden utilizarse para una segunda fase, también llamada “brecha secundaria”. Debido a estas vulnerabilidades, ahora es posible moverse lateralmente en la infraestructura y llegar a los datos sensibles. El gran peligro en este caso es que estos datos sensibles se distribuyan o se cifren y luego se utilicen para extorsionar a las organizaciones.

De esta situación aprendemos que parchear los servidores debería ser una prioridad estándar. Pero también vemos que un ataque no es advertido rutinariamente por todas las empresas, lo que podría causar un enorme daño.

¿Desea conocer mejor su panorama de amenazas?

Póngase en contacto con nosotros a través de info@kahuna.eu o llame al +34 96 1815 411 y estaremos encantados de informarle sobre las posibilidades de detectar y mitigar ataques recientes y nuevos.