CISA da a las agencias federales 5 días para encontrar servidores de Exchange pirateados

Microsoft Logo Ms Finger Touch  - geralt / Pixabay

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha ordenado a las agencias federales que escaneen sus redes nuevamente en busca de signos de servidores de Microsoft Exchange locales comprometidos e informen sus hallazgos dentro de cinco días.

CISA emitió otra directiva  ordenando a las agencias federales que actualicen o desconecten urgentemente sus servidores locales de Exchange después de que Microsoft publicara actualizaciones de seguridad para errores de día cero denominados colectivamente ProxyLogon .

A principios de este mes, los funcionarios de CISA dijeron que, hasta ahora, ninguna agencia civil federal de EE. UU. Se vio comprometida en ataques en curso dirigidos a servidores Exchange vulnerables.

La directiva de emergencia recientemente emitida proporciona a las agencias de la rama ejecutiva civil federal requisitos adicionales de clasificación forense y fortalecimiento del servidor.

“Específicamente, esta actualización indica a los departamentos y agencias federales que ejecuten herramientas recientemente desarrolladas, el script Test-ProxyLogon.ps1 de Microsoft y Safety Scanner MSERT, para investigar si sus servidores Microsoft Exchange han sido comprometidos”, dijo el CISA.

Orientación complementaria de Microsoft Exchange

Las agencias federales están obligadas a utilizar herramientas desarrolladas por Microsoft para ayudar a las organizaciones a investigar si sus servidores Exchange se han visto comprometidos en ataques ProxyLogon:

  • Antes de las 12:00 p.m.EDT del lunes 5 de abril de 2021, descargue y ejecute la versión actual de Microsoft Safety Scanner (MSERT) en modo de escaneo completo e informe los resultados a CISA utilizando la plantilla de informes proporcionada.
  • Antes de las 12:00 p.m.EDT del lunes 5 de abril de 2021, descargue y ejecute el script Test-ProxyLogon.ps1 como administrador para analizar los registros de Exchange e IIS y descubrir la actividad potencial del atacante. Informe los resultados a CISA utilizando la plantilla de informes proporcionada .

La directiva de emergencia también requiere que todas las agencias refuercen aún más sus servidores Exchange locales antes de las 12:00 p.m.EDT del lunes 28 de junio de 2021.

Ataques continuos dirigidos a servidores Exchange

Microsoft reveló ataques en curso coordinados por varios grupos de piratas informáticos respaldados por China que apuntan a las vulnerabilidades.

La firma eslovaca de seguridad en Internet ESET también compartió información sobre al menos diez grupos de piratas informáticos más que abusan activamente de estos errores.

Los atacantes se dirigen a organizaciones de múltiples sectores industriales en todo el mundo, roban información confidencial, implementan  malware  o ransomware de criptominería en servidores Exchange locales.

De más de 400,000 servidores vulnerables afectados por las fallas de ProxyLogon el 2 de marzo cuando Microsoft reveló los errores, ahora hay menos de 30,000 expuestos a ataques  después de que el 92% de ellos fueron parcheados en un mes.

fuente

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.