Por: Equipo de seguridad de Microsoft
En las últimas semanas, Microsoft y otras empresas del sector de seguridad han observado un aumento en los ataques contra los servidores Exchange locales (u on-premises). El objetivo de estos ataques es un tipo de servidor de correo electrónico que suelen utilizar las pequeñas y medianas empresas, aunque también se han visto afectadas organizaciones más grandes con servidores Exchange on-premises. Exchange Online no es vulnerable a estos ataques.
Aunque esto comenzó como un ataque de estado-nación, las vulnerabilidades están siendo exploradas por otras organizaciones criminales, incluyendo nuevos ataques de ransomware, con el potencial de otras actividades maliciosas.
Esto es lo que ahora consideramos un ataque más amplio, y la gravedad de estos exploits significa que la protección de sus sistemas es crítica. Si bien Microsoft dispone de métodos regulares para proporcionar herramientas de actualización de software, esta situación extraordinaria requiere un enfoque más intenso. Además de nuestras actualizaciones regulares de software, también proporcionamos actualizaciones específicas para software más antiguos y fuera de soporte con la intención de facilitar al máximo la protección de las empresas.
El primer paso es asegurarse de que se aplican todas las actualizaciones de seguridad pertinentes a cada sistema. Encontrar la versión de Exchange Server que está ejecutando y aplicar la actualización. Ello protegerá contra ataques conocidos y dará tiempo para actualizar los servidores a una versión que tenga una actualización de seguridad completa.
El siguiente paso fundamental es identificar si algún sistema se ha visto comprometido y, de ser así, eliminarlo de la red. Hemos proporcionado una serie de pasos y herramientas recomendados para ayudar, incluyendo scripts que permitirán escanear en busca de señales de acuerdo, una nueva versión del Microsoft Safety Scanner para identificar malware sospechosos y un nuevo conjunto de indicadores de acuerdo que se actualiza en tiempo real y se comparte ampliamente. Estas herramientas ya están disponibles, e incentivamos a todos los clientes a que las implementen.
Nuestro equipo de atención al cliente ha estado trabajando sin descanso junto con las empresas de hospedaje y nuestra comunidad de partners para concienciar a los clientes potencialmente afectados. Con la ayuda de la comunidad, estamos trabajando para dar a conocer estas actualizaciones y herramientas críticas a más de 400.000 clientes.
Para ilustrar el alcance de este ataque y mostrar el progreso realizado en la actualización de los sistemas, hemos estado trabajando con RiskIQ. Según la telemetría de RiskIQ, el 1 de marzo vimos un universo total de casi 400.000 servidores Exchange. El 9 de marzo había algo más de 100.000 servidores todavía vulnerables. Esa cifra ha ido disminuyendo de forma constante, y sólo quedan unos 82.000 por actualizar. El 11 de marzo publicamos un conjunto adicional de actualizaciones, y con esto, hemos publicado actualizaciones que cubren más del 95% de todas las versiones expuestas en Internet.
Por último, los grupos que intentan aprovecharse de esta vulnerabilidad están intentando implantar ransomware y otros programas maliciosos que podrían interrumpir la continuidad de los negocios. Para protegerse mejor contra estos ataques, recomendamos a todos los clientes que revisen las directrices sobre ransomware de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU, así como las propias directrices de Microsoft sobre cómo prepararse y protegerse contra este tipo de exploits.
Esta es la segunda vez en los últimos cuatro meses que miembros de un estado-nación han participado en ciberataques con el potencial de afectar a empresas y organizaciones de todos los tamaños. Seguimos monitoreando de cerca estos sofisticados ataques y aplicamos la amplitud y profundidad de nuestra tecnología, experiencia humana e inteligencia sobre amenazas para prevenir, detectar y responder mejor ante estos eventos.
Microsoft está profundamente comprometida a brindar apoyo a nuestros clientes contra estos ataques, a innovar en materia de seguridad y a colaborar estrechamente con los gobiernos y el sector de la seguridad para ayudar a mantener a nuestros clientes y comunidades seguros.
Publicado en: Protecting on-premises Exchange Servers against recent attacks – Microsoft Security
