Utilice esta herramienta de mitigación de un clic de Microsoft para evitar ataques de Exchange

Microsoft lanzó el lunes un software de mitigación con un solo clic que aplica todas las contramedidas necesarias para proteger los entornos vulnerables contra los ataques cibernéticos continuos y generalizados de ProxyLogon Exchange Server.

Llamada Herramienta de mitigación local de Exchange (EOMT), la secuencia de comandos basada en PowerShell sirve para mitigar los ataques conocidos actuales mediante CVE-2021-26855, escanear el servidor de Exchange mediante el Escáner de seguridad de Microsoft en busca de shells web implementados e intentar remediar el problema. compromisos detectados.

«Esta nueva herramienta está diseñada como una mitigación provisional para los clientes que no están familiarizados con el proceso de parche/actualización o que aún no han aplicado la actualización de seguridad de Exchange local», dijo Microsoft.

El desarrollo se produce a raíz de los ataques indiscriminados contra servidores Exchange sin parches en todo el mundo por parte de más de diez actores de amenazas persistentes avanzados, la mayoría de los grupos de ciberespionaje respaldados por el gobierno, para plantar puertas traseras, mineros de monedas y ransomware, con el lanzamiento de pruebas. de concepto (PoC) alimentando aún más la ola de piratería.

Según la telemetría de RiskIQ, 317 269 de los 400 000 servidores de Exchange locales en todo el mundo se han parcheado hasta el 12 de marzo, con EE. UU., Alemania, Gran Bretaña, Francia e Italia a la cabeza de los países con servidores vulnerables.

Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha actualizado su guía para detallar hasta siete variantes del shell web de China Chopper que están siendo aprovechadas por actores malintencionados.

Al ocupar solo cuatro kilobytes, el shell web ha sido una herramienta popular de posexplotación elegida por los atacantes cibernéticos durante casi una década.

Mientras se evalúa la amplitud de las intrusiones, Microsoft también está investigando cómo los ataques «limitados y dirigidos» que detectó a principios de enero cobraron fuerza para transformarse rápidamente en una campaña de explotación masiva generalizada, lo que obligó a publicar las correcciones de seguridad una semana. antes de lo debido.

The Wall Street Journal informó el viernes que los investigadores se centran en si un socio de Microsoft, con quien la compañía compartió información sobre las vulnerabilidades a través de su Programa de Protección Activa de Microsoft (MAPP), la filtró accidentalmente o deliberadamente a otros grupos.

También se afirma que algunas herramientas utilizadas en la «segunda ola» de ataques a fines de febrero son similares al código de ataque de prueba de concepto que Microsoft compartió con las compañías antivirus y otros socios de seguridad el 23 de febrero, lo que plantea la posibilidad de que los actores de amenazas pueden haber tenido en sus manos la divulgación privada que Microsoft compartió con sus socios de seguridad.

La otra teoría es que los actores de amenazas descubrieron de forma independiente el mismo conjunto de vulnerabilidades, que luego se explotaron para realizar un reconocimiento sigiloso de las redes objetivo y robar buzones de correo, antes de intensificar los ataques una vez que los piratas informáticos descubrieron que Microsoft estaba preparando un parche.

“Esta es la segunda vez en los últimos cuatro meses que los actores del estado-nación se involucran en ataques cibernéticos con el potencial de afectar a empresas y organizaciones de todos los tamaños”, dijo Microsoft. «Si bien esto comenzó como un ataque de estado-nación, otras organizaciones criminales están explotando las vulnerabilidades, incluidos nuevos ataques de ransomware, con el potencial de otras actividades maliciosas».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática