La falla de Microsoft Exchange puede haber llevado a que más de 30,000 organizaciones de EE. UU. sean pirateadas

El lanzamiento silencioso de un parche fuera de banda para una falla en el servidor Exchange de Microsoft se está convirtiendo rápidamente en una historia importante, con informes creíbles de al menos 30,000 XNUMX organizaciones en los EE. UU., y posiblemente cientos de miles en todo el mundo, que están siendo pirateadas por un grupo de piratas informáticos chinos, que ahora tiene el control total de los servidores y los datos en ellos .

Krebs en Informes de seguridad que un número significativo de pequeñas empresas, pueblos, ciudades y gobiernos locales han sido infectados, y los piratas informáticos han dejado un caparazón web para mayor comando y control.

Microsoft dijo que los ataques originales estaban dirigidos a una variedad de sectores industriales, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG, pero Krebs señala que ha habido una escalada dramática y agresiva de la tasa de infección, ya que los piratas informáticos intentan adelantarse al parche lanzado por Microsoft.

“Hasta ahora, hemos trabajado en docenas de casos en los que se colocaron shells web en el sistema de la víctima el 28 de febrero [antes de que Microsoft anunciara sus parches], hasta hoy”, dijo el presidente de Volexity, Steven Adair, quien descubrió el ataque . “Incluso si parcheó el mismo día que Microsoft publicó sus parches, todavía hay una gran posibilidad de que haya un shell web en su servidor. La verdad es que, si está ejecutando Exchange y aún no ha reparado esto, existe una gran posibilidad de que su organización ya esté comprometida".

Hay una herramienta disponible en Github para identificar servidores infectados a través de Internet, y la lista es preocupante.

“Son departamentos de policía, hospitales, toneladas de gobiernos municipales y estatales y cooperativas de ahorro y crédito”, dijo una fuente que está trabajando en estrecha colaboración con funcionarios federales en el asunto. “Casi todos los que ejecutan Outlook Web Access autohospedado y no fueron parcheados hasta hace unos días se vieron afectados por un ataque de día cero”.

El tamaño del ataque hasta ahora plantea preocupaciones sobre la fase de remediación.

“En la llamada, muchas preguntas eran de distritos escolares o gobiernos locales que necesitan ayuda”, dijo la fuente, hablando con la condición de que no fueran identificados por su nombre. “Si estos números son decenas de miles, ¿cómo se hace la respuesta a incidentes? Simplemente no hay suficientes equipos de respuesta a incidentes para hacer eso rápidamente”.

“La mejor protección es aplicar actualizaciones lo antes posible en todos los sistemas afectados”, dijo un portavoz de Microsoft en una declaración escrita. “Seguimos ayudando a los clientes al proporcionar orientación adicional sobre investigación y mitigación. Los clientes afectados deben comunicarse con nuestros equipos de soporte para obtener ayuda y recursos adicionales”.

Algunos han señalado con el dedo a Microsoft por permitir que se produjeran los ataques, especialmente porque sus productos en la nube no se han visto afectados.

“Es una pregunta que vale la pena hacer, ¿cuál será la recomendación de Microsoft?”, dijo el experto en seguridad cibernética del gobierno. “Dirán 'Patch, pero es mejor ir a la nube'. Pero, ¿cómo protegen sus productos fuera de la nube? Dejándolos marchitarse en la vid.”