Ciudad de México, 11 de marzo de 2021 – Durante la primera semana de marzo de 2021, Microsoft y los investigadores de seguridad revelaron cuatro vulnerabilidades en Microsoft Exchange que estaban bajo ataque activo. Las vulnerabilidades son fallas en el software que pueden permitir ataques. En este caso, estas vulnerabilidades hacen posible que los atacantes se apoderen por completo del servidor de Exchange. Avast, líder global en productos de privacidad y seguridad digital, comparte consejos para las PyMes sobre cómo pueden mantenerse protegidas.
Cuando se lanzaron los parches, Microsoft dijo que había «ataques limitados y dirigidos». Sin embargo, en los días transcurridos desde entonces, los atacantes han aumentado exponencialmente su actividad y hay informes de cientos de miles de ataques contra servidores Exchange en todo el mundo. La tasa de ataques está aumentando y esto significa que todos los que tienen servidores Exchange vulnerables deben tomar medidas inmediatas para proteger esos sistemas.
Avast reconoce que las PyMes y las pequeñas organizaciones se encuentran particularmente en riesgo de sufrir estos ataques. Además, actualmente hay poca información disponible que le hable a esta audiencia sobre esta situación. Por esa razón, Christopher Budd, Gerente Senior de Comunicaciones de Amenazas Globales de Avast, comparte los pasos recomendados que deben tomar las empresas:
- Parchar el sistema ahora: Los parches ya están disponibles. Sin embargo, lo importante es tener en cuenta que la implementación de los parches solo protegerá los sistemas de cualquier intento futuro de explotar estas vulnerabilidades; no ayuda a proteger contra cualquier intento de ataque a esas vulnerabilidades que puedan haber ocurrido ANTES de que se aplicaran los parches. Y si el sistema ha sido atacado, los parches NO desharán nada de lo que los atacantes hayan hecho. Los parches solo corrigen vulnerabilidades, no eliminan las herramientas de los atacantes u otras cosas que le hayan hecho al sistema cuando lo comprometieron. Esto significa que después de aplicar los parches, hay más trabajo que hacer.
- Determina si sufriste un ataque: Utilizar la información proporcionada por Microsoft para determinar si el sistema se ha visto comprometido a través de al menos algunos de los ataques que se sabe que se llevan a cabo contra estas vulnerabilidades. Si las empresas encuentran información en sus servidores de Exchange que coincide con la del aviso de Microsoft, es probable que los sistemas se hayan visto comprometidos por estos ataques y deberán tomar más medidas para recuperarse.
- Recuperación: «desconectar y reconstruir». Estos son pasos estándar recomendados en cualquier situación comprometida. Al desconectar el sistema comprometido (o potencialmente comprometido) de inmediato, se cierra la puerta de acceso del atacante. Incluso si el sistema ha sido parchado, los atacantes pueden tener otros medios para controlar el sistema comprometido: parchear por sí solo no cambiará eso. La desconexión corta el acceso al sistema y el acceso a su red a través de ese sistema. Cuando un sistema se ve comprometido de esta manera, reconstruirlo por completo es el mejor paso para eliminar a los atacantes y sus herramientas del sistema. En su lugar, puede considerarse restaurar el sistema a partir de copias de seguridad. La empresa debe asegurarse de que está utilizando una copia de seguridad previa al ataque para realizar la restauración. Desafortunadamente, si se restaura a partir de una copia de seguridad posterior al que el sistema se vio comprometido, estarán restaurando el sistema, las herramientas y el acceso de los atacantes, anulando el propósito de la restauración. Además, al reconstruir o restaurar, se debe parchear el sistema ANTES de volver a conectarlo y volverlo a poner en servicio. En situaciones como esta, no es frecuente que un sistema reconstruido o restaurado sin parches se vea comprometido nuevamente antes de que se pueda parchear, y eso hará que regresen al punto de partida en su proceso de recuperación.
- Monitoreo de futuras actividades maliciosas: las empresas afectadas deben implementar un monitoreo que pueda identificar un comportamiento inusual en la red, lo que podría apuntar a otros signos de un compromiso más amplio. Algunas cosas clave a tener en cuenta son la actividad inusual con el nivel de administrador y las cuentas de servicio, el tráfico de red inusual a sistemas desconocidos en ubicaciones geográficas inesperadas y la actividad inusual de acceso remoto. Esta no es una lista exhaustiva, pero sí algunos puntos clave en los que centrarse. Desafortunadamente, Avast ha descubierto que los atacantes con presencia en la red pueden ser difíciles de detectar, incluso para los expertos. La ayuda de expertos es realmente necesaria para determinar si existe algún otro compromiso en la red. Además del monitoreo, es importante determinar si todos los sistemas están completamente actualizados para todos los parches para los sistemas operativos y aplicaciones. También se debe considerar realizar análisis de seguridad agresivos en todos y cada uno de los sistemas posibles. Esto puede ayudar a identificar otro malware o herramientas que los atacantes puedan haber colocado en los sistemas y redes.