Kevin Beaumont, ex miembro del personal de seguridad de Microsoft, advirtió que los ciberdelincuentes están explotando en masa las vulnerabilidades en los servidores de correo electrónico de intercambio de Microsoft, ya que las corporaciones no fueron advertidas adecuadamente sobre qué sistemas parchear.
En su blog DoublePulsar, Beaumont advirtió que muchas organizaciones parecen no haber parcheado, lo que ha llevado a la explotación masiva de vulnerabilidades. Agregó además que cientos de sistemas del gobierno de los EE. UU. están expuestos con la Seguridad Cibernética y de Infraestructura (CISA) del Departamento de Seguridad Nacional emitiendo una alerta el domingo.
"Son vulnerabilidades de ejecución remota de código autenticadas previamente (no se requiere contraseña), lo cual es tan grave como parece".
Afirmó que Microsoft ya sabía que esto eventualmente provocaría un incidente internacional para los clientes. Y aunque Microsoft había publicado correcciones hace unos buenos 5 meses, no había asignado los números de identificación estándar de las vulnerabilidades, lo que podría haber facilitado relativamente a los usuarios determinar qué parches necesitaban.
Beaumont agregó que:
“Creó una situación en la que los clientes de Microsoft estaban mal informados sobre la gravedad de uno de los errores de seguridad empresarial más críticos del año"
Tenga en cuenta que Microsoft no respondió a la solicitud de comentarios sobre las acusaciones de Beaumont en el momento de la publicación de su informe.
Si bien muchos grupos de piratas informáticos aprovecharon para explotar estas vulnerabilidades, un grupo reconocido es LockFile, que se vio aprovechando las fallas parcheadas por primera vez en marzo por Microsoft. Este grupo de piratería había sido vinculado previamente a muchos ataques de ransomware principalmente en Asia y los EE. UU. en las industrias manufacturera, de ingeniería, turística y financiera, según una publicación de blog de una organización de seguridad llamada Symantec. La publicación incluía además al grupo que se mencionó por primera vez el 20 de julio en la red de una organización financiera estadounidense.
Beaumont también confirmó que había identificado miles de Exchange Servers sin parches en el Reino Unido mediante la aplicación web de Outlook, varios en el dominio gov.uk y dos en police.uk.
Sobre esto, el Centro Nacional de Seguridad Cibernética del Reino Unido comentó que están al tanto de la actividad global que involucra las vulnerabilidades en los servidores de Microsoft Exchange que anteriormente estaban expuestos a ser atacados actualmente.
La organización dijo:
“En esta etapa, no hemos visto evidencia de que las organizaciones del Reino Unido se vean comprometidas, pero continuamos monitoreando el impacto. El NCSC insta a todas las organizaciones a instalar las últimas actualizaciones de seguridad para protegerse e informar cualquier sospecha de compromiso a través de nuestro sitio web”.
“El NCSC insta a todas las organizaciones a que instalen las últimas actualizaciones de seguridad para protegerse e informar cualquier sospecha de compromiso a través de nuestro sitio web”, agregó la organización.
Al relacionar todo el estribo, un portavoz de Mandiant, una empresa estadounidense de ciberseguridad, le dijo a Sky News que habían observado que "una variedad de industrias" eran el objetivo de los piratas informáticos.
El portavoz agregó:
“Es difícil atribuir esta actividad a cualquier grupo de actores de amenazas porque los investigadores de seguridad han desarrollado y publicado varios ejemplos de código de explotación de prueba de concepto”.
“Esto significa que cualquier grupo podría estar aprovechando el exploit y las organizaciones que no han parcheado son vulnerables a los ataques”, advirtió el portavoz, y agregó que la tasa de parcheo “sigue siendo baja” e instó a las empresas a ejecutar los parches lo antes posible para evitar mas daño.
Con la nueva ola de ataques cibernéticos, uno se pregunta cuáles serán los impactos de estas vulnerabilidades para los usuarios de correo electrónico de intercambio de Microsoft en todo el mundo.
El mayor número de ataques dirigidos a los servidores de Microsoft Exchange comenzó después de que Microsoft emitiera una advertencia a principios de este año destacando la campaña global de piratería, también dirigida específicamente a esos servidores, que se menciona que son propiedad de piratas informáticos patrocinados por el estado con sede en China.
Según una estimación, 400.000 servidores de todo el mundo se vieron comprometidos en una campaña de espionaje masivo.
El gobierno de Gran Bretaña señaló agresivamente las técnicas que usaban los ciberespías chinos para obtener y retener el acceso a los servidores comprometidos, lo que también hacía que esos servidores fueran vulnerables a los delincuentes.
Si bien los involucrados en el espionaje cibernético generalmente recurren a observar en silencio sin interrumpir las redes objetivo, los delincuentes, por otro lado, generalmente hacen todo lo posible para interrumpir las redes comprometidas mediante la ejecución de ataques de ransomware, lo que eventualmente lleva a que los archivos críticos confidenciales se vuelvan irrecuperables a menos y hasta que las víctimas de el ataque paga una fuerte tarifa de extorsión.
El mes pasado, el gobierno británico y sus aliados acusaron descaradamente a China de “sabotaje cibernético sistemático” en asociación con dicha campaña.
Al mismo tiempo, los contratistas contratados por la inteligencia cibernética de Beijing fueron acusados de realizar “operaciones cibernéticas no autorizadas en todo el mundo… para su propio beneficio personal” por parte del gobierno británico. Sin embargo, no está del todo claro si las operaciones no autorizadas estaban destinadas a explotar el acceso establecido por la campaña de espionaje no autorizado.
El reciente frenesí de nuevos ataques cibernéticos es la única razón por la que Microsoft vuelve a aparecer repentinamente en las noticias. Recientemente, surgieron noticias sobre el nuevo sistema operativo Windows 11 que se lanzará en octubre de 2021 y cómo los ciberdelincuentes comenzaron a explotar sus archivos de instalación para inyectar varios programas maliciosos en los dispositivos de los usuarios.
Si bien no está claro cómo Microsoft reparará las posibles vulnerabilidades, siempre es una buena idea mantenerse cauteloso con las estadísticas de seguridad cibernética. Incluso algo tan simple como Microsoft Excel puede explotarse para ejecutar ataques de phishing a gran escala.
La proyección de futuros ataques de phishing da miedo y debería preocuparnos a todos. APWG informó que los sitios web de phishing aumentaron de 138 328 a 266 387 en el corto período entre el cuarto trimestre de 2018 y el tercer trimestre de 2019. Lo que es aún más preocupante es el hecho de que cualquier información que se robe, estará disponible en la Dark Web para que los postores la compren y la usen con cualquier intención maliciosa.