Microsoft insta a los clientes a mantener actualizados sus servidores de Exchange y a tomar medidas para reforzar el entorno, como habilitar Protecci\u00f3n extendida de Windows<\/a> y configurando firma basada en certificados<\/a> de las cargas \u00fatiles de serializaci\u00f3n de PowerShell.<\/p>\n “Los atacantes que buscan explotar los servidores de Exchange sin parches no van a desaparecer”, dijo el equipo de Exchange del gigante tecnol\u00f3gico. dicho<\/a> en una publicaci\u00f3n “Hay demasiados aspectos de los entornos de Exchange locales sin parches que son valiosos para los malos actores que buscan filtrar datos o cometer otros actos maliciosos”.<\/p>\n Microsoft tambi\u00e9n enfatiz\u00f3 que las mitigaciones emitidas por la compa\u00f1\u00eda son solo una soluci\u00f3n provisional y que pueden “volverse insuficientes para proteger contra todas las variaciones de un ataque”, lo que requiere que los usuarios instalen las actualizaciones de seguridad necesarias para proteger los servidores.<\/p>\n Exchange Server ha demostrado ser un vector de ataque lucrativo<\/a> en los \u00faltimos a\u00f1os, con una serie de fallas de seguridad en el software armado como d\u00eda cero para piratear sistemas.<\/p>\n Solo en los \u00faltimos dos a\u00f1os, se han descubierto varios conjuntos de vulnerabilidades en Exchange Server, incluidos ProxyLogon, ProxyOracle, ProxyShell, ProxyToken, ProxyNotShell y un bypass de mitigaci\u00f3n de ProxyNotShell conocido como OWASSRF, algunos de los cuales han sido objeto de una explotaci\u00f3n generalizada en la naturaleza.<\/p>\n Bitdefender, en un aviso t\u00e9cnico publicado esta semana, describi\u00f3 a Exchange como un “objetivo ideal”, al tiempo que describi\u00f3 algunos de los ataques del mundo real que involucran las cadenas de exploits ProxyNotShell\/OWASSRF desde finales de noviembre de 2022.<\/p>\n “Hay un red compleja<\/a> de servicios frontend y backend [in Exchange]con c\u00f3digo heredado para proporcionar compatibilidad con versiones anteriores”, Martin Zugec de Bitdefender se\u00f1alado<\/a>. “Los servicios de back-end conf\u00edan en las solicitudes del front-end [Client Access Services] capa.”<\/p>\n Otra raz\u00f3n es el hecho de que varios servicios de back-end se ejecutan como Exchange Server, que viene con privilegios de SISTEMA, y que las vulnerabilidades podr\u00edan otorgar al atacante acceso malintencionado a la PowerShell remoto<\/a> servicio, allanando efectivamente el camino para la ejecuci\u00f3n de comandos maliciosos.<\/p>\n Con ese fin, los ataques que utilizan las fallas de ProxyNotShell y OWASSRF como armas se han dirigido a las industrias de artes y entretenimiento, consultor\u00eda, derecho, fabricaci\u00f3n, bienes ra\u00edces y venta al por mayor ubicadas en Austria, Kuwait, Polonia, Turqu\u00eda y los EE. UU.<\/p>\n “Estos tipos de falsificaci\u00f3n de solicitudes del lado del servidor (SSRF<\/a>) permiten a un adversario enviar una solicitud dise\u00f1ada desde un servidor vulnerable a otros servidores para acceder a recursos o informaci\u00f3n a los que de otro modo no se puede acceder directamente”, dijo la compa\u00f1\u00eda rumana de ciberseguridad.<\/p>\n Se dice que la mayor\u00eda de los ataques son oportunistas en lugar de enfocados y dirigidos, y las infecciones culminan en el intento de implementaci\u00f3n de shells web y software de administraci\u00f3n y monitoreo remoto (RMM) como ConnectWise Control y GoTo Resolve.<\/p>\n Los shells web no solo ofrecen un mecanismo de acceso remoto persistente, sino que tambi\u00e9n permiten a los delincuentes realizar una amplia gama de actividades de seguimiento e incluso vender el acceso a otros grupos de piratas inform\u00e1ticos para obtener ganancias.<\/p>\n En algunos casos, los servidores de prueba utilizados para alojar las cargas \u00fatiles se vieron comprometidos por los propios servidores de Microsoft Exchange, lo que sugiere que es posible que se haya aplicado la misma t\u00e9cnica para expandir la escala de los ataques.<\/p>\n Tambi\u00e9n se observaron esfuerzos fallidos realizados por los adversarios para descargar Cobalt Strike, as\u00ed como un implante basado en Go con nombre en c\u00f3digo GoBackClient que viene con capacidades para recopilar informaci\u00f3n del sistema y generar shells inversos.<\/p>\n El abuso de las vulnerabilidades de Microsoft Exchange tambi\u00e9n ha sido una t\u00e1ctica recurrente empleada por UNC2596 (tambi\u00e9n conocido como Tropical Scorpius), los operadores de Cuba<\/a> (tambi\u00e9n conocido como COLDDRAW), con un ataque que aprovecha la secuencia de explotaci\u00f3n de ProxyNotShell para eliminar el BUGHATCH<\/a> descargador<\/p>\n \u201cSi bien el vector de infecci\u00f3n inicial sigue evolucionando y los actores de amenazas aprovechan r\u00e1pidamente cualquier nueva oportunidad, sus actividades posteriores a la explotaci\u00f3n son familiares\u201d, dijo Zugec. “La mejor protecci\u00f3n contra los ciberataques modernos es una arquitectura de defensa en profundidad”.<\/p>\n <\/p>\n![\"microsoft\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/Microsoft-insta-a-los-clientes-a-proteger-los-servidores-Exchange.png\" "\\"microsoft\\"\/")
<\/div>\n