Si bien se han eliminado las cáscaras de Internet que anteriormente permitían a los atacantes acceder a los servidores de Microsoft Exchange, el FBI ha revelado que puede quedar cierto malware que los piratas informáticos todavía usan como puertas traseras en las redes de las víctimas.
Ahora, las autoridades policiales de EE. UU. Han iniciado la copia y eliminación de shells de Internet defectuosos de cientos de computadoras que ejecutan el software Microsoft Exchange Server en las instalaciones para respaldar los servicios de correo electrónico corporativo.
Estos ataques comenzaron en enero y febrero de 2021, cuando varios piratas informáticos descubrieron y explotaron vulnerabilidades de día cero en Microsoft Exchange Server. Los piratas informáticos utilizaron estas vulnerabilidades para configurar puertas traseras y obtener acceso permanente a estos servidores hasta que fueron capturados en marzo de 2021. Incluso después de que los primeros piratas informáticos fueron expuestos, más atacantes buscaron formas de atacar después de que estas vulnerabilidades fueron parcheadas y publicadas.
Si bien miles de víctimas de este ataque lograron eliminar estas puertas traseras, cientos de shells web maliciosos permanecieron intactos. Para los servidores de destino que el FBI logró salvar, escribieron un comando desde la red. concha al servidor, lo que hace que el servidor elimine el shell web después de identificar la ruta única del archivo del shell.
Hasta ahora, las autoridades han evaluado positivamente la capacidad de las organizaciones públicas y privadas para unirse a las fuerzas de ciberseguridad para contrarrestar esta amenaza. De hecho, el FBI ya se ha asociado con colegas internacionales en el campo para vigilar nuevas vulnerabilidades y amenazas de esta naturaleza.
De hecho, desde que este ataque apareció por primera vez en marzo, Microsoft y sus diversos socios han realizado importantes esfuerzos para proporcionar a miles de clientes información y herramientas para ayudar a mitigar esta amenaza, incluso para organizaciones cuyos servidores ya se han visto afectados.
Sin embargo, a pesar del hecho de que muchos usuarios de Microsoft Exchange Server eliminan con éxito los shells de Internet defectuosos en sus redes, el FBI advierte que las vulnerabilidades originales de día cero aún no se han parcheado por completo. Por lo tanto, la compañía recomienda que todas las organizaciones afectadas continúen monitoreando e investigando sus entornos en busca de una posible presencia maliciosa.
Por el momento, el FBI tiene la intención de notificar a todas las entidades de cuyos servidores se han eliminado los shells maliciosos de Internet relacionados con estos ataques. Esperan que los defensores de la red de organizaciones vulnerables se enfrenten al desafío de detectar estos shells de red defectuosos en función de su nombre de archivo y ruta únicos.
Hasta ahora, el FBI y la Agencia de Infraestructura y Ciberseguridad han trabajado juntos para asesorar conjuntamente sobre Microsoft Exchange Server para abordar este incidente.
Oficina del Fiscal de los Estados Unidos, Distrito Sur de Texas. “El Departamento de Justicia anuncia los esfuerzos de los tribunales para interrumpir la explotación de vulnerabilidades en Microsoft Exchange Server”. Departamento de Justicia de los Estados Unidos, Departamento de Justicia de los Estados Unidos, 13 de abril de 2021, www.justice.gov/usao-sdtx/pr/j… ploitation-microsoft
© 2021 Science X Network