Muévase, SolarWinds: 30.000 correos electrónicos de organizaciones pirateados a través de fallas de Microsoft Exchange Server

Según un informe de KrebsOnSecurity, cuatro exploits encontrados en el software Exchange Server de Microsoft han provocado que más de 30.000 organizaciones gubernamentales y comerciales de EE. UU. Tengan sus correos electrónicos pirateados. Wired también informa de la piratería de “decenas de miles de servidores de correo electrónico”. Los exploits han sido parcheados por Microsoft, pero los expertos en seguridad que hablan con Krebs dicen que el proceso de detección y limpieza será un esfuerzo masivo para los miles de gobiernos estatales y municipales, departamentos de bomberos y policía, distritos escolares, instituciones financieras y otras organizaciones que fueron afectados.
Según Microsoft, las vulnerabilidades permitieron a los piratas informáticos obtener acceso a cuentas de correo electrónico y también les dieron la capacidad de instalar malware que podría permitirles volver a esos servidores en un momento posterior.
Krebs y Wired informan que el ataque fue llevado a cabo por Hafnium, un grupo de piratas informáticos chino. Si bien Microsoft no se ha referido a la escala del ataque, también señala que el mismo grupo ha explotado las vulnerabilidades, diciendo que tiene "mucha confianza" en que el grupo está patrocinado por el estado.
Según KrebsOnSecurity, el ataque ha estado en curso desde el 6 de enero (el día de los disturbios), pero se intensificó a finales de febrero. Microsoft lanzó sus parches el 2 de marzo, lo que significa que los atacantes tenían casi dos meses para realizar sus operaciones. El presidente de la empresa de seguridad cibernética Volexity, que descubrió el ataque, le dijo a Krebs que "si está ejecutando Exchange y aún no ha parcheado esto, existe una gran probabilidad de que su organización ya esté comprometida".
Tanto el Asesor de Seguridad Nacional de la Casa Blanca, Jake Sullivan, como el exdirector de la Agencia de Seguridad de Infraestructura y Ciberseguridad Chris Krebs (sin relación con KrebsOnSecurity) tuitearon sobre la gravedad del incidente.

Este es el verdadero negocio. Si su organización ejecuta un servidor OWA expuesto a Internet, asuma un compromiso entre el 26/02 y 03/03. Busque archivos aspx de 8 caracteres en C: \ inetpub wwwroot aspnet_client system_web . Si obtiene un resultado en esa búsqueda, ahora está en modo de respuesta a incidentes. https://t.co/865Q8cc1Rm— Chris Krebs (@C_C_Krebs) 5 de marzo de 2022

Microsoft ha publicado varias actualizaciones de seguridad para corregir las vulnerabilidades y sugiere que se instalen de inmediato. Vale la pena señalar que, si su organización usa Exchange Online, no se habrá visto afectada: el exploit solo estaba presente en autohospedado servidores que ejecutan Exchange Server 2013, 2016 o 2019.
Si bien un ataque a gran escala, probablemente llevado a cabo por una organización estatal, puede sonar familiar, Microsoft tiene claro que los ataques "no están relacionados de ninguna manera" con los ataques de SolarWinds que comprometieron a las agencias y empresas del gobierno federal de Estados Unidos el año pasado.
Es probable que todavía haya detalles por venir sobre este ataque; hasta ahora, no ha habido una lista oficial de organizaciones que se han visto comprometidas, solo una imagen vaga de la gran escala y la alta gravedad del ataque.
Un portavoz de Microsoft dijo que la empresa está "trabajando en estrecha colaboración con la (Agencia de seguridad de infraestructura y ciberseguridad), otras agencias gubernamentales y empresas de seguridad, para garantizar que estamos proporcionando la mejor orientación y mitigación posibles para nuestros clientes", y que "(t ) La mejor protección es aplicar actualizaciones lo antes posible en todos los sistemas afectados ".