Seguridad Nacional declara ataque de Microsoft Exchange & quot; Emergencia & quot;
Seguridad Nacional ha declarado un ataque en curso contra Microsoft Exchange como una emergencia. Los ataques, que comenzaron a principios de esta semana, tienen como objetivo los servidores Microsoft Exchange, uniendo varios exploits de día cero para acceder a cuentas de correo electrónico seguras.
Seguridad Nacional: El ataque es un "riesgo inaceptable"
El Departamento de Seguridad Nacional emitió la Directiva de Emergencia 21-02 a última hora del 3 de marzo, entregando algunos antecedentes sobre el ataque a Microsoft Exchange.
Los socios de CISA han observado una explotación activa de las vulnerabilidades en los productos locales de Microsoft Exchange. Actualmente, no se sabe que ni las vulnerabilidades ni la actividad de explotación identificada afecten a las implementaciones de Microsoft 365 o Azure Cloud. La explotación exitosa de estas vulnerabilidades permite que un atacante acceda a los servidores Exchange locales, lo que les permite obtener acceso y control persistentes del sistema de una red empresarial.
La directiva luego explica que un ataque de esta naturaleza "presenta un riesgo inaceptable para las agencias del Poder Ejecutivo Federal Civil y requiere una acción de emergencia".
El Departamento de Seguridad Nacional ha establecido una fecha límite de las 12 p.m. EST del viernes 5 de marzo para que las agencias federales cumplan con los protocolos de análisis y mitigación establecidos en la directiva.
Actualmente, cada agencia debe identificar sus servidores Microsoft Exchange, completar una clasificación forense de la memoria del sistema, los registros y las colmenas de registro, y luego analizar los resultados en busca de indicadores de robo de credenciales u otros compromisos.
¿Quién ataca los servidores de Microsoft Exchange?
Microsoft ha apuntado la figura directamente a un grupo de piratería del estado-nación chino conocido como HAFNIUM. Por lo general, las empresas tardan un poco más en comprometerse a nombrar a un sospechoso, pero Microsoft tiene pocas dudas de que un "actor altamente capacitado y sofisticado" está detrás del ataque.
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) atribuye esta campaña con gran confianza a HAFNIUM, un grupo evaluado como patrocinado por el estado y que opera fuera de China, basado en la victimología, tácticas y procedimientos observados.
Parte de la razón de esto es que el ataque de Microsoft Exchange agrupa cuatro vulnerabilidades previamente desconocidas. Puede leer los detalles en el blog oficial de seguridad de Microsoft .
Microsoft también señala que ha observado HAFNIUM interactuando con su suite Microsoft Office 365, buscando vulnerabilidades. También confirmó que este ataque no tiene relación con SolarWinds, el enorme ciberataque que afectó a múltiples agencias gubernamentales de EE. UU., Junto con varias empresas tecnológicas líderes.
La buena noticia es que, si bien estos ataques continúan y representan una amenaza significativa contra los servidores Microsoft Exchange, el equipo de seguridad de Microsoft ya ha implementado una serie de parches para mitigar las vulnerabilidades.
Puede encontrar más detalles sobre los parches de Microsoft Exchange Server en el sitio de Microsoft Tech Community , incluido cómo descargar e instalar las actualizaciones, así como cómo escanear sus servidores Exchange en busca de signos de compromiso.