Las copias de seguridad y los parches que reparan los agujeros de seguridad han sido uno de los problemas más problemáticos en el campo de TI durante muchos años. Y si las cosas van mejor con las copias de seguridad (aunque la anécdota de los administradores de sistemas que no hacen o que ya hacen copias de seguridad será relevante durante mucho tiempo), entonces todo está triste con la seguridad. La historia con Garmin es otra confirmación de esto.
Los fondos residuales, las esperanzas de "azar" y otros factores conducen a filtraciones y ataques regulares. Pero las cosas siguen ahí. Cloud4Y ha compartido más de una vez historias divertidas sobre fugas de seguridad y hackeos . Y aquí hay otra historia que solo confirma la inercia de las empresas en un tema tan aparentemente importante como la seguridad de los datos.
Cuál es el problema
En febrero de 2020, Microsoft parcheó la vulnerabilidad CVE-2020-0688 que afectaba a los servidores de Microsoft Exchange. Esta vulnerabilidad de seguridad está presente en el componente del Panel de control de Exchange (ECP) y permite a los atacantes secuestrar servidores vulnerables de Microsoft Exchange utilizando cualquier credencial de correo electrónico válida previamente robada. Para enfatizar la importancia del problema, la compañía agregó el indicador de vulnerabilidad Explotación más probable "La explotación es muy probable", lo que sugiere que la vulnerabilidad es un objetivo atractivo para los atacantes.
Un error peligroso está relacionado con el trabajo del componente ECP. Exchange no puede crear claves criptográficas únicas durante la instalación, lo que brinda a los atacantes que pasan la etapa de autenticación la capacidad de ejecutar de forma remota código arbitrario con privilegios del SISTEMA y comprometer completamente el servidor vulnerable.
La etapa de autenticación en sí, por cierto, tampoco es un problema. Los atacantes pueden atravesarlo utilizando herramientas para recopilar información sobre los empleados de la empresa a través de LinkedIn. Y luego use la información recopilada, junto con el relleno de credenciales, contra Outlook Web Access (OWA) y ECP.
En febrero, los expertos en seguridad advirtieron que estaban escaneando activamente la red en busca de servidores vulnerables de Microsoft Exchange. Para llevar a cabo el ataque, bastaba con localizar servidores vulnerables, buscar direcciones de correo electrónico que se pudieran obtener a través de la URL del cliente web OWA o recoger datos de filtraciones anteriores. Si un atacante pudo navegar hasta el servidor de Exchange, podría divulgar o falsificar mensajes de correo electrónico corporativos.
Dos agencias occidentales de seguridad de la información, NSA y CISA, también emitieron advertencias pidiendo la pronta instalación del parche CVE-2020-0688, citando casos de explotación de esta vulnerabilidad por parte de grupos de piratas informáticos.
Se hierve y se olvida
Pero, como sucede a menudo, no solo todos (c) prestaron atención al bombo publicitario. La mayoría de las empresas ignoraron la amenaza. Un par de meses después, las empresas de ciberseguridad Rapid7 utilizaron su herramienta web Project Sonar para descubrir todos los servidores públicos de Exchange en Internet. Y los resultados fueron muy tristes.
Descubrieron que al menos 357,629 (82.5%) de los 433,464 servidores Exchange todavía están abiertos a ataques que aprovechan la vulnerabilidad CVE-2020-0688.
Algunos de los servidores marcados por Rapid7 como protegidos contra ataques podrían seguir siendo vulnerables porque el parche de Microsoft no actualizaba todas las versiones del sistema operativo. Pero eso no es todo. Los investigadores encontraron casi 11,000 servidores que ejecutan Microsoft Exchange 2007 con software de fin de soporte (EoS), que finalizó el soporte en 2017, y 166,000 servidores que ejecutan Microsoft Exchange 2010, que finalizará el soporte en octubre de 2020. La guinda del pastel fue la información de que casi 31 mil servidores Microsoft Exchange 2010 están conectados a Internet, que no se han actualizado desde 2012, y 800 de ellos nunca se han actualizado.
Más tarde decidiremos quién tiene la culpa. ¿Qué hacer?
De manera amistosa, es necesario no solo instalar parches, sino también determinar si los atacantes intentaron explotar la vulnerabilidad. Dado que los atacantes deben tomar el control de al menos una cuenta para hacer esto, cualquier cuenta asociada con un intento de explotación debe considerarse pirateada.
Las cuentas de usuario comprometidas que se utilizaron para atacar servidores de Exchange se pueden detectar comprobando los registros de eventos de Windows e IIS en busca de partes de carga útil codificada, incluido el texto "Estado de vista no válido" o la cadena "__VIEWSTATE" y "__VIEWSTATEGENERATOR" en las solicitudes de consulta en la ruta en directorio / ecp.
La única salida que tiene sentido es instalar parches en sus servidores antes de que los piratas informáticos los encuentren y comprometan por completo toda su red. De lo contrario, puede ser necesario cambiar todas las cuentas y contraseñas de usuario robadas.
Los enlaces de descarga de actualizaciones de seguridad para versiones vulnerables de Microsoft Exchange Server y artículos relacionados de la base de conocimientos están disponibles en la tabla siguiente:
| Versión de MS Exchange | Artículo | Parche |
| Paquete acumulativo de actualizaciones 30 de Microsoft Exchange Server 2010 Service Pack 3 | 4536989 | Actualización de seguridad |
| Actualización acumulativa 23 de Microsoft Exchange Server 2013 | 4536988 | Actualización de seguridad |
| Actualización acumulativa 14 de Microsoft Exchange Server 2016 | 4536987 | Actualización de seguridad |
| Actualización acumulativa 15 de Microsoft Exchange Server 2016 | 4536987 | Actualización de seguridad |
| Actualización acumulativa 3 de Microsoft Exchange Server 2019 | 4536987 | Actualización de seguridad |
| Actualización acumulativa 4 de Microsoft Exchange Server 2019 | 4536987 | Actualización de seguridad |
No se olvide de la seguridad. La falta de protección varios meses después del lanzamiento del parche es extremadamente triste.
¿Qué más útil puedes leer en el blog de Cloud4Y
→ La inteligencia artificial canta sobre la revolución
→ ¿Cuál es la geometría del Universo?
→ ¿Necesitamos nubes en el espacio?
→ Huevos de Pascua en mapas topográficos de Suiza
→ Ganadores del concurso de startups The Europas Awards 2020
Suscríbete a nuestro canal de Telegram para no perderte otro artículo. Escribimos no más de dos veces por semana y solo por negocios. Por cierto, recientemente realizamos un seminario web sobre el cálculo del TCO para proyectos de TI, donde respondimos preguntas urgentes. Si está interesado, bienvenido!