Microsoft ha detectado vulnerabilidades en su software de colaboración entre usuarios Microsoft Exchange que pueden provocar un impacto significativo en las pequeñas y medianas empresas que utilicen los servidores de correo electrónico de Microsoft Exchange.
Por este motivo, Avast ha recopilado una serie de consejos para que estas organizaciones sepan qué medidas pueden y deben adoptar para protegerse.
El autor de estos consejos es Christopher Budd, Senior Global Threat Communications Manager de Avast, quien trabajo durante diez años en el Centro de Respuesta de Seguridad de Microsoft (MSRC).
Esta situación de riesgo comenzó en la primera semana de marzo de 2021, cuando Microsoft y sus investigadores de seguridad revelaron cuatro vulnerabilidades en Microsoft Exchange que estaban siendo atacadas. Ante esta situación, Microsoft publicó parches de emergencia para esas vulnerabilidades que estaban afectando a los servidores de correo electrónico de Microsoft Exchange.
Inicialmente, Microsoft explicó que las vulnerabilidades eran objeto de ataques “dirigidos y limitados”. Sin embargo, en los días posteriores el número de ataques se ha disparado.
Según el autor en materia de seguridad Brian Krebs, más de 30.000 organizaciones en los Estados Unidos y, posiblemente, cientos de miles de organizaciones en todo el mundo, se han visto afectadas por ataques contra estas vulnerabilidades.
Por su parte, el ex responsable de la CISA en Estados Unidos ha señalado que “estos ataques van a impactar desproporcionadamente a los que menos pueden permitírselo, como es el caso de las pymes”.
Avast coincide en que las pymes y las pequeñas organizaciones se enfrentan a los riesgos particulares de estos ataques. A lo que se suma la escasa información disponible sobre esta situación que esté dirigida a este público en concreto.
Para ayudar a sus clientes del sector pyme, Avast ha compartido en su blog una serie de recomendaciones de la mano de Christopher Budd, Senior Global Threat Communications Manager de Avast, con la intención de ayudar a las pequeñas y medianas empresas a comprender mejor la situación y lo que deben hacer.
Las claves para hacer frente a esta situación por parte de las pymes son:
- Parchear inmediatamente.
En el sitio web de Microsoft se detalla toda la información sobre estas vulnerabilidades y se pueden implementar los parches.
Sin embargo, debe considerarse que la implementación de los parches solo protegerá los sistemas de cualquier intento futuro que pretenda explotar estas vulnerabilidades, es decir, no ayudará a proteger contra cualquier intento de ataque que pueda haberse producido antes de la aplicación de los parches.
Por tanto, si el sistema ha sido atacado, los parches no desharán nada. Éstos solo corrigen vulnerabilidades, no erradican las herramientas de los atacantes.
- Tomar medidas para determinar si el sistema ha sido comprometido.
El primer paso es utilizar la información proporcionada por Microsoft para determinar si el sistema de la empresa se ha visto comprometido a través de alguno de los ataques detectados y reconocidos contra estas vulnerabilidades.
Si se encuentra información en los servidores de Exchange que coincide con la advertencia de Microsoft, es probable que el sistema se haya visto comprometido por estos ataques. Sin embargo, si no se encuentra esta información relativa al aviso de Microsoft en el sistema, no se debe asumir automáticamente que el sistema no se ha visto comprometido.
En este caso solo se puede concluir que el sistema no se ha visto comprometido por los ataques específicos ya conocidos. Sin embargo, puede que otros atacantes hayan comprometido el sistema de una manera que no se puede identificar. En este caso, habrá dos opciones a considerar:
- Tratar el sistema como probablemente comprometido de todos modos y tomar medidas preventivas para recuperarlo, como se describe a continuación.
- Tratar el sistema como posiblemente comprometido, controlar la actividad inusual y verificar si hay nuevos indicadores de compromiso (IoC), como se recoge en el informe de Microsoft, a medida que van siendo reconocidos.
Es muy complicado saber con certeza que un sistema no está comprometido, motivo por el que la mejor solución es llevar a cabo un análisis especifico y exhaustivo de los sistemas.
- Desconectar y reconstruir cualquier sistema que haya sido comprometido.
Es importante desconectar el sistema comprometido de inmediato para cerrar la puerta de acceso del atacante. Por tanto, cuando un sistema se ve comprometido de esta forma, reconstruir el sistema por completo es la mejor de las soluciones para eliminar del sistema a los atacantes y sus herramientas.
En ese caso, se puede considerar restaurar el sistema a partir de copias de seguridad, pero cerciorando que esas copias de seguridad son previas al momento en el que el sistema se vio comprometido, porque si no se estará restaurando el sistema con las herramientas de los atacantes. Además, se debe parchear el sistema antes de volver a conectarlo y volver a ponerlo nuevamente en servicio.
- Poner en marcha una monitorización y un escaneo de seguridad minuciosos para detectar cualquier otro signo de compromiso en la red.
El objetivo es identificar cualquier comportamiento insólito en la red, como puede ser la actividad infrecuente con el nivel de administrador y las cuentas de servicio, el tráfico de red inusual a sistemas desconocidos en ubicaciones geográficas inesperadas y la actividad inusual de acceso remoto.
De igual forma se debe realizar un análisis de seguridad muy minucioso en todos y cada uno de los sistemas para ayudar a identificar otro malware o herramientas que los atacantes puedan haber colocado en los sistemas y en la red.