Microsoft insta a sus clientes a mantener actualizados sus servidores Exchange, así como a tomar medidas para reforzar el entorno, como activar Windows Extended Protection y configurar la firma basada en certificados de las cargas útiles de serialización de PowerShell.
La compañía, también hizo hincapié en que las medidas de mitigación adoptadas por la empresa son sólo una solución provisional y que pueden “resultar insuficientes para proteger contra todas las variantes de un ataque”, por lo que es necesario que los usuarios instalen las actualizaciones de seguridad necesarias para proteger los servidores.
Exchange Server ha demostrado ser un lucrativo vector de ataque en los últimos años, con una serie de fallos de seguridad en el software utilizados como armas de día cero para piratear sistemas.
Se dice que la mayoría de los ataques son oportunistas más que focalizados y dirigidos, y que las infecciones culminan con el intento de despliegue de web shells y software de monitorización y gestión remota (RMM) como ConnectWise Control y GoTo Resolve.
En algunos casos, los servidores utilizados para alojar las cargas útiles ya eran servidores Microsoft Exchange comprometidos, lo que sugiere que se puede haber aplicado la misma técnica para ampliar la escala de los ataques.
El abuso de las vulnerabilidades de Microsoft Exchange también ha sido una táctica recurrente empleada por UNC2596 (alias Tropical Scorpius), los operadores del ransomware Cuba (alias COLDDRAW), con un ataque que aprovechaba la secuencia de exploits ProxyNotShell para lanzar el descargador BUGHATCH.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian