Se produce a raíz de ataques indiscriminados contra servidores Exchange

Microsoft lanzó el lunes un software de mitigación con un solo clic que aplica todas las contramedidas necesarias para proteger los entornos vulnerables contra los ciberataques generalizados de ProxyLogon Exchange Server.

Llamada Herramienta de mitigación local de Exchange (EOMT), la secuencia de comandos basada en PowerShell sirve para mitigar los actuales ataques conocidos mediante CVE-2021-26855, escanear el servidor Exchange con Microsoft Safety Scanner en busca de shells web implementados e intentar solucionar el problema. compromisos detectados.

"Esta nueva herramienta está diseñada como una mitigación provisional para los clientes que no están familiarizados con el proceso de parche/actualización o que aún no han aplicado la actualización de seguridad de Exchange local", dijo Microsoft.

El desarrollo se produce a raíz de ataques indiscriminados contra servidores Exchange sin parchear en todo el mundo por parte de más de diez actores avanzados de amenazas persistentes, la mayoría grupos de ciberespionaje respaldados por el gobierno, para plantar puertas traseras, mineros de monedas, y ransomware, con el lanzamiento de la prueba de concepto (PoC) que alimenta aún más la ola de piratería.

Según la telemetría de RiskIQ, 317,269 de los 400.000 Exchange Server locales en todo el mundo han sido parcheados a partir del 12 de marzo, con Estados Unidos, Alemania, Gran Bretaña, Francia e Italia liderando los países con servidores vulnerables.

herramienta mitigación de Microsoft Exchange

Además, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) ha actualizado su guía para detallar hasta siete variantes del shell web de China Chopper [PDF] que están siendo aprovechadas por actores malintencionados.

Con tan solo cuatro kilobytes, el shell web ha sido una popular herramienta de post-explotación elegida por los atacantes cibernéticos durante casi una década.

shell de la herramienta de mitigación de Microsoft Exchange

Mientras se evalúa la amplitud de las intrusiones, Microsoft también está investigando cómo cobraron fuerza los ataques "limitados y dirigidos" que detectó a principios de enero para transformarse rápidamente en una campaña de explotación masiva generalizada, lo que obligó a lanzar las correcciones de seguridad una semana antes de lo previsto.

El Wall Street Journal informó el viernes que los investigadores están enfocados en si un socio de Microsoft, con quien la compañía compartió información sobre las vulnerabilidades a través de su Programa de Protección Activa de Microsoft (MAPP), la filtró accidental o intencionalmente a otros grupos.

También se afirma que algunas herramientas utilizadas en la "segunda ola" de ataques hacia fines de febrero son similares al código de ataque de prueba de concepto que Microsoft compartió el 23 de febrero con compañías antivirus y otros socios de seguridad, lo que plantea la posibilidad de que los actores de amenazas hayan tenido en sus manos la divulgación privada que Microsoft compartió con sus socios de seguridad.

La otra teoría es que los actores de amenazas descubrieron de forma independiente el mismo conjunto de vulnerabilidades, que luego fueron explotadas para realizar un reconocimiento sigiloso de las redes objetivo y robar buzones de correo, antes de intensificar los ataques una vez que los piratas informáticos descubrieron que Microsoft estaba preparando un parche.

"Esta es la segunda vez en los últimos cuatro meses que los actores del estado-nación se han involucrado en ataques cibernéticos con el potencial de afectar empresas y organizaciones de todos los tamaños", dijo Microsoft. "Si bien esto comenzó como un ataque de estado-nación, las vulnerabilidades están siendo explotadas por otras organizaciones criminales, incluidos nuevos ataques de ransomware, con el potencial de otras actividades maliciosas".