Cultura

Los piratas informáticos del FBI comprometieron los servidores de Exchange a medida que más empresas son atacadas

En un movimiento posiblemente sin precedentes, la Oficina Federal de Investigación de los EE. UU. Obtuvo una orden judicial que le permite piratear los servidores Microsoft Corp. Exchange comprometidos para eliminar vulnerabilidades a medida que continúan surgiendo más historias de servidores Exchange atacados.

La orden judicial permitió al FBI copiar y eliminar web shells maliciosos de cientos de computadoras vulnerables que fueron comprometidas por los llamados ataques de Hafnium revelados por primera vez por investigadores de seguridad de Microsoft el 2 de marzo. Hafnium fue descrito en ese momento como piratas informáticos patrocinados por el estado chino dirigidos a un número de vulnerabilidades identificadas recientemente para las que se han emitido parches.

Sin embargo, los parches que se están publicando y los parches que están aplicando los usuarios de Exchange son dos cosas diferentes y, a pesar de la publicidad generalizada sobre la necesidad de aplicar los parches, muchos usuarios no lo han hecho, de ahí la apariencia del FBI.

«Esta operación eliminó los proyectiles web restantes de un grupo de piratería informática que podrían haberse utilizado para mantener y aumentar el acceso persistente y no autorizado a las redes estadounidenses», dijo el Departamento de Justicia de Estados Unidos en un comunicado. «El FBI llevó a cabo la eliminación emitiendo un comando a través del shell web al servidor, que fue diseñado para hacer que el servidor elimine solo el shell web».

“Si bien se desconoce la escala de la operación (redactada en una orden judicial), el hecho de que el FBI pudo ejecutar en menos de cuatro días y luego divulgar públicamente este esfuerzo, demuestra el riesgo potencial para la seguridad nacional que representan estos sistemas explotados y el Priorizó la planificación involucrada ”, dijo a SiliconANGLE Monti Knode, director de éxito de clientes y socios de la empresa de pruebas de penetración Horizon3.AI Inc.. «Esta no es una reacción instintiva».

Otros estaban preocupados por las implicaciones de que el FBI pirateara otras computadoras.

“Me pregunto cuáles serían las implicaciones de cualquier daño potencial que ocurriera con la eliminación de las carcasas web”, dijo Rick Holland, director de seguridad de la información y vicepresidente de estrategia de la firma de protección de riesgos digitales Digital Shadows Ltd. “El FBI realizó un ‘ proceso de prueba interno del FBI ‘y también consultó con un’ experto externo ‘, pero cualquiera que haya trabajado en TI sabe que cuando elimina el software, puede haber consecuencias no deseadas, como bloquear un servidor «.

Criptominería

El anuncio del FBI se produce el mismo día en que los investigadores de ciberseguridad de Sophos Group plc informaron que los actores de amenazas han estado apuntando a los servidores de Exchange. Buscaron aprovechar lo que los investigadores llamaron un exploit ProxyLogon para instalar el código de criptominería de Monero en servidores de Exchange comprometidos.

LEER  El NUEVO parque de xperiencias Xcaret - Xenses

«Era lógico que las vulnerabilidades del servidor de Microsoft Exchange se aprovecharan para un amplio conjunto de fines nefastos», explicó Oliver Tavakoli, director de tecnología de la firma de ciberseguridad de IA Vectra AI Inc. «Lo que hace que este ejemplo sea interesante es que haber pirateado uno tal servidor de Exchange, el atacante preparó un paquete de minería de criptomonedas en él y cuando pirateó otros servidores de Exchange, simplemente recuperó el paquete de la ubicación preparada «.

Un problema, añadió Tavakoli, es que es poco probable que los cortafuegos bloqueen el tráfico entre los servidores de Exchange e incluso pueden pasar ese tráfico.

Parche martes

También se lanzaron hoy las actualizaciones mensuales del martes de parches de Microsoft. Con las vulnerabilidades en Exchange ganando tanta atención, es un recordatorio pertinente de la importancia de ejecutar actualizaciones cuando estén disponibles.

En el lanzamiento de Patch Tuesday de este mes se destacan los parches para cuatro nuevas vulnerabilidades críticas de Exchange Server, formalmente denominadas CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 y CVE-2021-28483. Los cuatro fueron acreditados a la Agencia de Seguridad Nacional.

“Estas vulnerabilidades han sido calificadas como ‘Explotación más probable’ utilizando el índice de explotación de Microsoft”, explicó Satnam Narang, ingeniero de investigación de personal de la empresa de ciberseguridad Tenable Inc., a SiliconANGLE. “Dos de las cuatro vulnerabilidades, CVE-2021-28480 y CVE-2021-28481, son autenticación previa, lo que significa que un atacante no necesita autenticarse en el servidor Exchange vulnerable para aprovechar la falla. Con el gran interés en Exchange Server desde el mes pasado, es crucial que las organizaciones apliquen estos Exchange Server parches inmediatamente.»

Foto: J / Flickr

Ya que estás aquí …

Muestre su apoyo a nuestra misión con nuestra suscripción de un clic a nuestro canal de YouTube (abajo). Cuantos más suscriptores tengamos, más YouTube le sugerirá contenido empresarial relevante y de tecnología emergente. ¡Gracias!

Apoya nuestra misión: >>>>>> SUSCRÍBETE AHORA >>>>>> a nuestro canal de YouTube.

… También nos gustaría contarte sobre nuestra misión y cómo puedes ayudarnos a cumplirla. El modelo comercial de SiliconANGLE Media Inc. se basa en el valor intrínseco del contenido, no en la publicidad. A diferencia de muchas publicaciones en línea, no tenemos un muro de pago ni ejecutamos anuncios publicitarios, porque queremos mantener nuestro periodismo abierto, sin influencia ni la necesidad de perseguir el tráfico.El periodismo, los informes y los comentarios sobre SiliconANGLE, junto con el video en vivo sin guión de nuestro estudio de Silicon Valley y los equipos de video trotamundos en el cubo – requiere mucho trabajo, tiempo y dinero. Mantener la calidad alta requiere el apoyo de patrocinadores que estén alineados con nuestra visión de contenido periodístico sin publicidad.

Si le gustan los informes, las entrevistas en video y otro contenido sin publicidad aquí, tómese un momento para ver una muestra del contenido de video respaldado por nuestros patrocinadores, tuitea tu apoyoy sigo volviendo a SiliconaANGLE.

Author

Moisés Cabrera

Encantado de emprender, el Internet es como pez en el rio para mi y quiero aportar valor a este mundo digital. Si crees que es de interés estos artículos no dudes en comentar.

¿Te gusta nuestro contenido?Recibe noticias y estrategias digitales a tu correo.

No pierda la oportunidad de recibir también descuentos de nuestros servicios.