Su Microsoft Exchange local podría verse comprometido

By Ricardo Hoyos | 8 de marzo de 2021 |

W estham T rade te informa

 

Recientemente, descubrimos una amenaza en uno de nuestros servidores Exchange, relacionada con un reciente ataque dirigido por el grupo chino Hafnium, dirigido a un gran grupo de corporaciones estadounidenses con servidores Exchange. Afortunadamente, logramos arreglarlo muy rápido y queríamos compartir esta experiencia con todos nuestros clientes.

 

El exjefe de la Agencia Nacional de Seguridad de Infraestructura y Ciberseguridad (CISA) Chris Krebs, tuitea: "Este es el verdadero negocio. Si su organización ejecuta un servidor OWA expuesto a Internet, asuma el compromiso entre el 26/02 y 03/03. Verifique el archivo asp de 8 caracteres en:

 

C: \\ inetpub \ wwroot \ aspnet_client \ system_web \.

 

Si obtiene un resultado en esa búsqueda, ahora está en modo de respuesta a incidentes.

 

En nuestro servidor sin parche, de hecho, vimos archivos como un script de shell de puerta trasera escrito y alojado en el front-end, dejando la posibilidad a una amenaza mayor. Vimos ese archivo escrito y minutos después estábamos elaborando la respuesta y parcheando el servidor según las instrucciones de Microsoft.

 

Aunque el ataque es nuevo, el vector de ataque es bajo, lo que significa que cualquier persona con poco conocimiento puede aprovechar dicha vulnerabilidad para atacar su servidor. ¡PARCHE AHORA!

Como arreglarlo

 

Microsoft respondió

https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b

 

Microsoft ya lanzó una actualización de seguridad, incluida el 2 de marzo de 2021 Actualización acumulativa para Exchange 2010-2019, y marcada como crítica y urgente para parchear.

 

Fecha del parche

Microsoft ya lanzó una actualización de seguridad, incluida en la actualización acumulativa del 2 de marzo de 2021

 

Siga estos pasos

  • Verifique el estado de su servidor de intercambio y vea si ha sido comprometido:
  • Si los scripts responden con una posible amenaza, analice la profundidad de la amenaza y bloquee las conexiones de las direcciones IP que iniciaron dicha amenaza.
  • Parche el servidor a CU8 (puede encontrar el parche en el portal VLSC, aún no está disponible a través de Windows Update)

También puede usar Thor Lite Vulnerability Assessment para verificar cualquier otra información de un posible ataque.

 

Si no puede encontrar CU8 en su distribución de software, comuníquese con nosotros para obtener soluciones alternativas.

 

Contáctenos:

 

Oscar Jaén
Gerente de productos de TI híbrida

1(305) 717 5400

Oscar.Jaen@wtrade.com

Ingeniero con más de 10 años de experiencia en soluciones HPE.

Posted in News and tagged ,

Leave a Comment