El número de usuarios atacados por exploits dirigidos a vulnerabilidades en los servidores Microsoft Exchange, y bloqueados por productos de Kaspersky, aumentó significativamente entre julio y agosto. En América Latina, el aumento de ataques registrado en agosto fue del 153%, con Venezuela (450%), Chile (378%), México (258%), Ecuador (242%) y Argentina (186%) liderando la lista de países más afectados. Le siguen Perú (176%), Paraguay (165%), Brasil (67%) y Colombia (57%)
Según nuestros expertos, este asombroso aumento está relacionado con el creciente número de ataques que intentan explotar vulnerabilidades previamente reveladas en el producto y el hecho de que los usuarios no instalan los parches del software vulnerable tan pronto estos están disponibles, lo que amplía el potencial de ataque.
Las vulnerabilidades dentro de Microsoft Exchange Server causaron mucho caos este año. El 2 de marzo de 2021, el público se enteró del exploit “in-the-wild” de las vulnerabilidades de día cero dentro de Microsoft Exchange Server, que luego fueron utilizadas en una ola de ataques a organizaciones de todo el mundo. Meses después, Microsoft también emitió parches para una, serie de las denominadas vulnerabilidades de ProxyShell: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. En conjunto, estas vulnerabilidades representan una amenaza crítica ya que permiten a un atacante eludir la autenticación y ejecutar código como usuario privilegiado. Aunque los parches para estas vulnerabilidades fueron emitidos hace algún tiempo, los ciberdelincuentes no dudaron en explotarlas, resultando en 74,274 intentos de ataque registrados a nivel mundial por las tecnologías de Kaspersky a estas vulnerabilidades de MS Exchange en los últimos seis meses.
Además, como advirtió la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA, por sus siglas en inglés) en Estados Unidos el 21 de agosto, las vulnerabilidades ProxyShell están siendo explotadas activamente por los ciberdelincuentes en una reciente ola de ataques. En su aviso, publicado el 26 de agosto, Microsoft explicó que un servidor de Exchange es vulnerable si no está ejecutando una Actualización acumulativa (CU, por sus siglas en inglés) con, por lo menos, la Actualización de seguridad de mayo (SU, por sus siglas en inglés).
Según nuestra telemetría, en la última semana de agosto, las tecnologías de la empresa bloquearon más de 1,700 ataques diarios a usuarios únicos con exploits al ProxyShell, registrando un aumento del 170% de usuarios atacados a nivel global en comparación con julio de 2021. En América Latina, el aumento promedio de la región registrado fue del 153%. Esto refleja el problema a gran escala que estas vulnerabilidades representan si no son parchadas.
“El hecho de que estas vulnerabilidades estén siendo explotadas de forma activa no es sorpresa; frecuentemente, las vulnerabilidades de Día 1 (las que ya han sido reveladas y cuentan con parches emitidos por sus desarrolladores) representan una amenaza aún mayor, ya que son conocidas por una gama más amplia de ciberdelincuentes que prueban suerte para penetrar cualquier red que este a su alcance. Este crecimiento activo de ataques demuestra una vez más por qué es esencial instalar parches a las vulnerabilidades tan pronto estos estén disponibles para evitar que las redes se vean comprometidas. Recomendamos encarecidamente seguir el reciente aviso de Microsoft para mitigar mayores riesgos”, comenta Evgeny Lopatin, investigador de seguridad en Kaspersky.
Nuestros productos protegen contra los ataques que aprovechan las vulnerabilidades en ProxyShell por medio de componentes de Behavior Detection y Exploit Prevention. Los ataques se detectan con los siguientes veredictos:
- PDM:Exploit.Win32.Generic
- HEUR:Exploit.Win32.ProxyShell.*
- HEUR:Exploit.*.CVE-2021-26855.*
Para protegerse contra este tipo de ataques, recomendamos:
- Actualizar Exchange Server lo antes posible
- Concentrar la estrategia de defensa en la detección de movimientos laterales y exfiltración de datos a la Internet. Prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes. Realizar copias de seguridad de los datos con regularidad y asegurarse de poder acceder a estas rápidamente en caso de emergencia
- Utilizar soluciones como Kaspersky Endpoint Detection and Response y el servicio Kaspersky Managed Detection and Response que ayudan a identificar y detener un ataque en sus etapas iniciales, antes de que los atacantes logren sus objetivos.
Utilizar una solución de seguridad para endpoints que sea de fiar, como Kaspersky Endpoint Security for Business (KESB), la cual cuenta con tecnologías de prevención de ataques, detección de comportamiento y un motor de corrección que puede revertir acciones maliciosas. KESB también cuenta con mecanismos de autodefensa que pueden evitar que este sea eliminado por los ciberdelincuentes.