Sobre la vulnerabilidad de Microsoft Exchange

Recientemente conocíamos las vulnerabilidades de día cero que afectan a Microsoft Exchange y que están siendo explotadas activamente por el grupo de ciberdelincuentes HAFNIUM.

Estas vulnerabilidades permiten a los atacantes ejecutar de forma remota comandos en los servidores afectados sin necesidades de credenciales y, dado el amplio uso de Exchange y su exposición a internet, muchas empresas que ejecutan un servidor local de Exchange podrían estar en riesgo. Cualquier organización que tenga servidores Exchange en sus instalaciones debería parchearlos y rastrear la red en busca de indicadores de ataque de forma urgente, alertan desde Sophos.

Mat Gangwer, director senior de Sophos Managed Threat Response, comentaba recientemente:

“Estas vulnerabilidades son importantes y deben tomarse bien en serio. Las empresas que utilizan un servidor Exchange local deben asumir que están afectadas y, en primer lugar, parchear sus dispositivos Exchange y confirmar que las actualizaciones se han realizado correctamente. Sin embargo, la simple aplicación de los parches no elimina de la red los artefactos anteriores al parche. Las organizaciones necesitan ojos humanos e inteligencia para determinar si se han visto afectadas y en qué medida y, lo que es más importante, para neutralizar el ataque y eliminar al enemigo de sus redes.

Si se encuentra alguna actividad anómala o sospechosa, debe determinarse su exposición, ya que se podrá decidir qué hacer a continuación. Es necesario comprender la duración o el impacto que puede haber tenido esta actividad. Desde Sophos recomendamos pedir apoyo externo si no se está seguro de que hacer. La respuesta forense y frente a incidentes de terceros puede ser vital en esta etapa, ya que ofrece una detección y caza de amenazas experimentada e inteligencia humana que puede ahondar en la red y encontrar a los atacantes”.