Varios grupos de ciberdelincuentes explotan vulnerabilidades en Exchange

Ciberdelincuentes utilizan la vulnerabilidad de Exchange

ESET la famosa empresa de seguridad informática ha
descubierto que hay más de diez grupos APT explotando las vulnerabilidades de Microsoft
Exchange comprometiendo servidores de correo. En un principio parecía que el
grupo Hafnium era el que estaba explotando las vulnerabilidades de Exchange, although
todo indica que realmente hay más grupos que estén explotando las vulnerabilidades,
ya que ESTE ha descubierto que más de 5.000 servidores de correo se ha visto
afectados por estos ataques.

Estas vulnerabilidades que afectan a Microsoft Exchange
fueron parcheadas a principios de este mes para las versiones 2013, 2016 and 2019
de Exchange Server, unas vulnerabilidades que permitían al atacante ejecutar código
remotamente. Además de poder ejecutar código de forma remota, los atacantes consiguen
tomar control de los servidores Exchange sin la necesidad de las credenciales
de autenticación.

Tras una investigación por parte de algunos centros de
seguridad se encontró que los grupos APT estaban explotando estas
vulnerabilidades antes de la publicación de los parches por parte de Microsoft,
descartando de esta manera que los grupos estuvieran aplicando ingeniería inversa
a las actualizaciones de Microsoft.

Los grupos que por el momento se ha detectado que han abusado
del exploit son los siguientes: LuckyMouse, Calypso, Tick, Websiic, Winnti Group,
Tonto Team, ShadowPad, Opera Cobalt Strike, Backdoors de IIS, Mikroceen y DLT
Miner

De estos grupos destacan LuckyMouse, un grupo que utilizo
estas vulnerabilidades como Zero-Day para comprometer un servidor de correo de
una entidad gubernamental de Oriente Medio y Opera Cobalt Strik, el cual
realizo el ataque a más de 650 servidores en Europa y EEUU escasas horas después
de lanzarse el parche de seguridad.

Ahora mismo lo más recomendable es actualizar cualquier servidor
de correo Exchange con los últimos parches de seguridad de Microsoft, tanto sea
un servidor que no se encuentre conectado a Internet, como que este conectado.

Leave a Reply

Your email address will not be published. Required fields are marked *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity