Tabla de contenidos
Durante la primera semana de marzo de 2021, Microsoft y los investigadores de seguridad revelaron cuatro vulnerabilidades en Microsoft Exchange que estaban bajo ataque activo. Las vulnerabilidades son fallas en el software que pueden permitir ataques. En este caso, estas vulnerabilidades hacen posible que los atacantes se apoderen por completo del servidor de Exchange.
Avast, líder global en productos de privacidad y seguridad digital, comparte consejos para las PyMes sobre cómo pueden mantenerse protegidas.
Cuando se lanzaron los parches, Microsoft dijo que había “ataques limitados y dirigidos”. Sin embargo, en los días transcurridos desde entonces, los atacantes han aumentado exponencialmente su actividad y hay informes de cientos de miles de ataques contra servidores Microsoft Exchange en todo el mundo. La tasa de ataques está aumentando y esto significa que todos los que tienen servidores Exchange vulnerables deben tomar medidas inmediatas para proteger esos sistemas.
Avast reconoce que las PyMes y las pequeñas organizaciones se encuentran particularmente en riesgo de sufrir estos ataques. Además, actualmente hay poca información disponible que le hable a esta audiencia sobre esta situación. Por esa razón, Christopher Budd, Gerente Senior de Comunicaciones de Amenazas Globales de Avast, comparte los pasos recomendados que deben tomar las empresas:
1. Parchar el sistema ahora
Los parches ya están disponibles. Sin embargo, lo importante es tener en cuenta que la implementación de los parches solo protegerá los sistemas de cualquier intento futuro de explotar estas vulnerabilidades; no ayuda a proteger contra cualquier intento de ataque a esas vulnerabilidades que puedan haber ocurrido ANTES de que se aplicaran los parches. Y si el sistema ha sido atacado, los parches NO desharán nada de lo que los atacantes hayan hecho. Los parches solo corrigen vulnerabilidades, no eliminan las herramientas de los atacantes u otras cosas que le hayan hecho al sistema cuando lo comprometieron. Esto significa que después de aplicar los parches, hay más trabajo que hacer.
2. Determina si sufriste un ataque
Utilizar la información proporcionada por Microsoft para determinar si el sistema se ha visto comprometido a través de al menos algunos de los ataques que se sabe que se llevan a cabo contra estas vulnerabilidades. Si las empresas encuentran información en sus servidores de Exchange que coincide con la del aviso de Microsoft, es probable que los sistemas se hayan visto comprometidos por estos ataques y deberán tomar más medidas para recuperarse.
3. Recuperación
En su lugar, puede considerarse restaurar el sistema a partir de copias de seguridad. La empresa debe asegurarse de que está utilizando una copia de seguridad previa al ataque para realizar la restauración.
Desafortunadamente, si se restaura a partir de una copia de seguridad posterior al que el sistema se vio comprometido, estarán restaurando el sistema, las herramientas y el 4. Monitoreo de futuras actividades maliciosas
las empresas afectadas deben implementar un monitoreo que pueda identificar un comportamiento inusual en la red, lo que podría apuntar a otros signos de un compromiso más amplio. Algunas cosas clave a tener en cuenta son la actividad inusual con el nivel de administrador y las cuentas de servicio, el tráfico de red inusual a sistemas desconocidos en ubicaciones geográficas inesperadas y la actividad inusual de acceso remoto. Esta no es una lista exhaustiva, pero sí algunos puntos clave en los que centrarse. Desafortunadamente, Avast ha descubierto que los atacantes con presencia en la red pueden ser difíciles de detectar, incluso para los expertos. La ayuda de expertos es realmente necesaria para determinar si existe algún otro compromiso en la red. Además del monitoreo, es importante determinar si todos los sistemas están completamente actualizados para todos los parches para los sistemas operativos y aplicaciones. También se debe considerar realizar análisis de seguridad agresivos en todos y cada uno de los sistemas posibles. Esto puede ayudar a identificar otro malware o herramientas que los atacantes puedan haber colocado en los sistemas y redes.
