Gobierno de E.U. ordena cerrar o actualizar aplicaciones de Microsoft Exchange para proteger a agencias federales de los hackers chinos

A través de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el Departamento de Seguridad Nacional de E.U. (NHS) emitió una alerta para exigir a las agencias federales que actualicen o inhabiliten los productos de Microsoft Exchange utilizados en sus redes internas. CISA lanzó esta alerta de emergencia después de que Microsoft revelara la corrección de cuatro fallas día cero detectadas en este producto.

La Agencia menciona que la explotación exitosa de estas fallas permite a los actores de amenazas acceder a los servidores locales de Exchange, lo que les brinda un punto de acceso al control de una red completa: “Recomendamos encarecidamente a las agencias federales que examinen sus redes en busca de indicios de actividad maliciosa; si no se encuentran indicadores de compromiso, las agencias deberán proceder aplicando los parches de seguridad lanzados por Microsoft”, menciona CISA.

Las agencias federales de E.U. deberán analizar su infraestructura informática en caso de detectar alguno de los siguientes indicadores:

  • Presencia de shellcode web en un servidor local de Microsoft Exchange comprometido
  • Acceso o uso no autorizado de cuentas
  • Evidencia de ataques de movimiento lateral en sistemas comprometidos
  • Indicadores de acceso no autorizado

Hace apenas unos días, Microsoft reveló la detección de múltiples incidentes de explotación de estas fallas, todos vinculados a grupos de hacking auspiciados por China. Estos ataques se dirigen a organizaciones en Estados Unidos en múltiples sectores empresariales con el fin de extraer información confidencial.

Sobre los grupos responsables del ataque, Microsoft lo habría atribuido al grupo identificado como APT27, también conocido como Bronze.

Además, Microsoft asegura que otros grupos de hacking no identificados han colaborado con estos ataques. Expertos en ciberseguridad mencionan que uno de estos grupos es HAFNIUM, especializado en el compromiso de implementaciones de Exchange.

La explotación activa de estos días cero de Microsoft Exchange fue detectada por primera vez el 6 de enero de 2021, según menciona un reporte de la firma de seguridad Volexity. Por otra parte, Microsoft recomienda a los administradores de implementaciones vulnerables actualizar de inmediato para prevenir el riesgo de explotación.

Los grupos de hacking auspiciados por actores estatales son una de las principales amenazas de ciberseguridad, ya que cuentan con recursos económicos y técnicos suficientes para desplegar complejas campañas de hacking, así que es necesario contar con información actualizada sobre este riesgo de seguridad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).