Microsoft ha anunciado el lanzamiento de una herramienta de mitigación local para Microsoft Exchange Server de un solo click, lo que se traduce a que las empresas que usen los servicios de Exchange pueden instalar las actualizaciones lanzadas por la empresa “en un solo click”. De este modo, los administradores de TI en entornos empresariales pueden usar los nuevos parches de seguridad de la firma de Redmond con una instalación sencilla a todos los equipos de la entidad. No es una solución final, sino una forma de mitigar el posible impacto de este ataque mientras se aplica la actualización con los parches.
Hay que recordar que a comienzos de este mes se hizo público un ataque a Microsoft Exchange Server. Según las informaciones, un grupo de hackers de China, Hafnium, estaba atacando servidores en diferentes países del mundo a través de este software de la marca de Redmond. Afecta a Exchange Server entre sus versiones 2013 a 2019.
Sirve para mitigar el riesgo de exploits hasta que lleguen los parches
Ya en ese momento, la compañía presentó parches de seguridad para corregir el problema, pero el ataque pudo seguir actuando. La nueva herramienta, dice ZDnet, está diseñada para mitigar la amenaza que suponen cuatro vulnerabilidades activamente explotadas. La empresa de Redmond estima que al menos 82.000 servidores siguen sin parchear y son vulnerables a los ataques.
La empresa publicó previamente un script en GitHub que los administradores podían ejecutar para ver si sus servidores contenían indicadores de compromiso (IOC) vinculados a las vulnerabilidades. Sin embargo, después de analizar la situación con clientes y socios, Microsoft dijo que era necesaria una solución sencilla y automatizada para clientes que usen tanto las versiones actuales como las que están fuera de soporte de Exchange Server on-premise. La herramienta de mitigación de Microsoft Exchange On-Premises ha sido probada en Exchange Server 2013, 2016 y 2019.
Es importante tener en cuenta que la herramienta no es una alternativa a la aplicación de parches, sino que debe considerarse un medio para mitigar el riesgo de exploits hasta que se aplique la actualización, lo que debe hacerse lo antes posible. "Esta herramienta no sustituye a la actualización de seguridad de Exchange, sino que es la forma más rápida y sencilla de mitigar los mayores riesgos para los servidores Exchange locales conectados a Internet antes de aplicar los parches", afirma Microsoft.
Un ataque de comienzos de marzo que sigue dando problemas
A comienzos de este mes, la empresa había alertado de que hackers de China aprovecharon un fallo en su sistema de mensajería Exchange Server, destinado a empresas, para poder acceder a sus mails, a listas de contactos y que también pudieron instalar malware.
Según informaciones aportadas por Microsoft, Hafnium se dirige principalmente a entidades de Estados Unidos (pero también de otros países) con el fin de acceder a información de diversos sectores industriales, como investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de enseñanza superior, contratistas de defensa, grupos de reflexión política y ONG. Aunque Hafnium tiene su sede en China, lleva a cabo sus operaciones principalmente desde servidores virtuales privados (VPS) alquilados en Estados Unidos.
Los ataques incluyen tres pasos. En primer lugar, accede a un servidor Exchange con contraseñas robadas o utilizando las vulnerabilidades no descubiertas previamente para disfrazarse de alguien que debería tener acceso. En segundo lugar, crea lo que se llama una shell web para controlar el servidor comprometido de forma remota. En tercer lugar, utilizaría ese acceso remoto ejecutado desde los servidores privados con sede en Estados Unidos, para robar datos de la red de una organización.
Ver todos los comentarios en https://www.genbeta.com
VER 0 Comentario