Ciudad de México, 8 de marzo de 2021.
“Estas vulnerabilidades son importantes y deben tomarse muy en serio. Permiten a los atacantes ejecutar de forma remota comandos en los servidores sin necesidad de credenciales, y cualquier delincuente podría aprovecharse de ellas. El amplio uso de Exchange y su exposición a Internet significa que muchas empresas que ejecutan un servidor local de Exchange podrían estar en riesgo.
«Los cibercriminales están explotando activamente estas vulnerabilidades, siendo la técnica principal el despliegue de un webshell. Algo que, de no tratarse, puede permitir que los delincuentes ejecuten comandos de forma remota mientras el webshell esté presente.
«Las organizaciones que utilizan un servidor Exchange local deben asumir que están afectadas y, en primer lugar, parchear sus dispositivos Exchange y confirmar que las actualizaciones se hayan realizado correctamente. Sin embargo, no quedan eliminados de la red los artefactos anteriores a la aplicación de los parches. Por lo tanto, las organizaciones necesitan ojos humanos e inteligencia para determinar si se han visto afectadas y, lo que es más importante, neutralizar el ataque y eliminar al enemigo de sus redes.
«Las empresas deben revisar los registros del servidor en busca de indicios de que un atacante haya explotado su servidor Exchange. Muchos de los actuales indicadores de exposición conocidos están basados en el webshell, por lo que habrá restos de archivos en el servidor Exchange. Por lo tanto, es importante tener una visión general de los archivos y de cualquier modificación de estos. Si se tiene instalado un producto de detección y respuesta de puntos finales (EDR), también se pueden revisar los registros y procesar la ejecución de comandos.
«Si se encuentra alguna actividad anómala o sospechosa, debe determinarse su exposición, ya que se podrá decidir qué hacer a continuación. Es necesario comprender la duración o el impacto que pudo haber tenido esa actividad. ¿Cuál es el lapso de tiempo entre la aparición del webshell u otros artefactos en la red y el momento del parcheo o de su descubrimiento? Este suele ser un buen momento para pedir apoyo externo si no se está seguro de qué hacer. La respuesta ante incidentes y forenses de terceros pueden ser vitales en esta etapa, ya que proporcionan inteligencia humana y búsqueda de amenazas que pueden adentrarse en la red y encontrar a los atacantes.
«El equipo de Sophos Managed Threat Response está buscando e investigando activamente los entornos de los clientes para ver si es posible descubrir nuevos artefactos o indicadores de exposición que puedan utilizarse para aumentar la detección y la defensa contra esta amenaza. Nuestro equipo de respuesta frente a incidentes 24 horas al día, 7 días a la semana, ya está apoyando a las empresas que creen que pudieron haber sido atacadas, algo que también ayudará a reunir más información sobre esta amenaza y cómo protegerse contra ella”, señala Mat Gangwer, director senior de Sophos Managed Threat Response.
Mario García, mario@another.co
Más historias
Monterrey: el nearshoring impulsado por la tecnología y el talento humano
Es hora de actualizar sus passwords nuevamente; es el Día Mundial de la Contraseña
Alerta Cibernética: Bots Avanzados Amenazan la Seguridad Digital en México