Informe: el 92 por ciento de los servidores Microsoft Exchange están ahora protegidos contra ProxyLogon
Microsoft informa que alrededor del 92 por ciento de todos los servidores Microsoft Exchange están ahora actualizados y protegidos contra la vulnerabilidad de ProxyLogon que ha afectado al servicio, y a los equipos de investigación y respuesta de seguridad, durante semanas.
La cifra de servidores Microsoft Exchange sin parchear se sitúa en alrededor de 30.000, frente a un máximo de alrededor de 400.000.
Gran reducción de servidores Microsoft Exchange vulnerables
Se desconoce el número total exacto de servidores Microsoft Exchange vulnerables.
Sin embargo, el 2 de marzo, cuando Microsoft lanzó su primer conjunto de parches de seguridad, alrededor de 400.000 servidores Exchange eran vulnerables a la vulnerabilidad ProxyLogon. Una semana después de que se lanzaran e implementaran los parches de seguridad, el 9 de marzo, esa cifra se redujo a alrededor de 100.000 servidores sin parchear.
Ahora, el último informe de Microsoft indica que quedan menos de 30.000 servidores Exchange vulnerables.
Nuestro trabajo continúa, pero estamos viendo un fuerte impulso para las actualizaciones de Exchange Server locales:
• El 92% de las direcciones IP de Exchange en todo el mundo ahora están parcheadas o mitigadas.
• Mejora del 43% a nivel mundial en la última semana. pic.twitter.com/YhgpnMdlOX– Respuesta de seguridad (@msftsecresponse) 22 de marzo de 2021
Desde ese tweet, es probable que el número haya disminuido aún más.
Microsoft ha tomado medidas sustanciales para proteger los servidores Microsoft Exchange vulnerables frente a la vulnerabilidad prolongada de ProxyLogon. Por ejemplo, Exchange On-Premises Mitigation Tool (EOMT) es una herramienta de parcheo ProxyLogon con un solo clic que facilita a los clientes de Microsoft Exchange Server asegurar rápidamente su infraestructura.
Microsoft también ha agregado una herramienta de parcheo automática Microsoft Defender. Según una publicación en el blog oficial de seguridad de Microsoft , los clientes que utilicen Microsoft Defender Antivirus y System Center Endpoint Protection " mitigarán automáticamente CVE-2021-26855 en cualquier servidor Exchange vulnerable en el que esté implementado".
¿Es este el final de ProxyLogon?
ProxyLogon ha sido un problema grave para los clientes de Exchange Server de Microsoft. El ataque ha afectado a decenas de miles de servidores, cubriendo empresas de todas las formas y tamaños.
La vulnerabilidad de ProxyLogon reunió cuatro exploits de día cero para atacar los servidores Microsoft Exchange. Después de la divulgación de la vulnerabilidad, varias industrias en todo el mundo informaron un aumento en los ataques, y los clientes de Microsoft Exchange Server informaron malware de minería de criptomonedas, varios tipos de ransomware, shells web y más, todos implementados por partes malintencionadas.
Una publicación de blog de ESET Research encontró que los servidores Microsoft Exchange estaban siendo atacados por "al menos 10 grupos APT [Advanced Persistent Threat]", todos los cuales buscaban capitalizar la vulnerabilidad.
Notamos que las vulnerabilidades fueron utilizadas por otros actores de amenazas, comenzando con Tick y rápidamente se unieron LuckyMouse, Calypso y Winnti Group. Esto sugiere que varios actores de amenazas obtuvieron acceso a los detalles de las vulnerabilidades antes del lanzamiento del parche, lo que significa que podemos descartar la posibilidad de que hayan creado un exploit mediante la ingeniería inversa de las actualizaciones de Microsoft.
La vulnerabilidad de ProxyLogon aún no ha terminado. Todavía hay más de 20.000 servidores Microsoft Exchange vulnerables, pero tanto los clientes como las empresas de seguridad esperan que el final esté a la vista.