Microsoft insta a los administradores de parchear servidores de Exchange

Microsoft instó a los clientes a mantener sus servidores de Exchange locales actualizados mediante la aplicación de la Actualización acumulativa (CU) más reciente compatible para tenerlos siempre listos para implementar una actualización de seguridad de emergencia.

Redmond dice que el proceso de actualización del servidor de Exchange es “sencillo” (algo con lo que muchos administradores pueden no estar de acuerdo) y recomienda ejecutar siempre el script del Comprobador de estado del servidor de Exchange después de instalar las actualizaciones.

Esto ayuda a detectar problemas de configuración comunes que se sabe que causan problemas de rendimiento o problemas que se pueden solucionar con un simple cambio de configuración del entorno de Exchange. Si encuentra algún problema, la secuencia de comandos proporciona enlaces a artículos con instrucciones paso a paso para cualquier tarea manual adicional que deba realizarse.

“Para defender sus servidores de Exchange contra ataques que explotan vulnerabilidades conocidas, debe instalar la última CU admitida (a partir de este escrito, CU12 para Exchange Server 2019, CU23 para Exchange Server 2016 y CU23 para Exchange Server 2013) y la última SU ( a partir de este escrito, el SU de enero de 2023), “dijo el equipo de intercambio.

“Las CU y las SU de Exchange Server son acumulativas, por lo que solo necesita instalar la última disponible. Instale la última CU y luego vea si se lanzó alguna SU después de que se lanzó la CU. Si es así, instale la SU más reciente (más reciente) .”

Microsoft también pidió a los administradores de Exchange que proporcionaran información sobre cómo se podría mejorar el proceso de actualización de Exchange Server a través de una “encuesta de experiencia de actualización”.

“El propósito de esta encuesta es comprender sus experiencias de actualización acumulativa (CU) y actualización de seguridad (SU) de Exchange Server para que podamos buscar formas de mejorar las experiencias y ayudarlo a mantener sus servidores actualizados”, dice la compañía.

“La información recopilada en esta encuesta será utilizada únicamente por el equipo de ingeniería de Exchange Server en Microsoft y solo para mejorar las experiencias de actualización”.

Los objetivos de algunos actores de amenazas cuando se dirigen a los servidores de Exchange incluyen obtener acceso a información confidencial dentro de los buzones de los usuarios, la libreta de direcciones de la empresa, lo que ayudaría a que los ataques de ingeniería social sean más efectivos, y el Active Directory de las organizaciones y los entornos de nube conectados.

Desafortunadamente, los servidores de Exchange son objetivos muy buscados, como lo demuestran los esfuerzos del grupo de delitos cibernéticos FIN7 para crear una plataforma personalizada de ataque automático denominada Checkmarks, diseñada específicamente para ayudar a violar los servidores de Exchange.

La nueva plataforma de FIN7 ya se ha utilizado para violar las redes de 8.147 empresas (la mayoría de ellas ubicadas en los Estados Unidos) después de escanear más de 1,8 millones de objetivos, según la firma de información sobre amenazas Prodaft.

Decenas de miles de servidores Exchange esperando ser protegidos

La advertencia de hoy se produce después de que Microsoft también pidiera a los administradores que parchearan continuamente los servidores de Exchange locales después de emitir actualizaciones de seguridad fuera de banda de emergencia para abordar las vulnerabilidades de ProxyLogon que se explotaron en ataques dos meses antes de que se lanzaran los parches oficiales.

Al menos diez grupos de piratas informáticos estaban utilizando vulnerabilidades de ProxyLogon en marzo de 2021 para diversos fines, uno de los cuales era un grupo de amenazas patrocinado por China rastreado por Microsoft como Hafnium.

Para mostrar la gran cantidad de organizaciones expuestas a este tipo de ataques, el Instituto Holandés para la Divulgación de Vulnerabilidades (DIVD) encontró 46 000 servidores sin parches contra los errores de ProxyLogon una semana después de que Microsoft lanzara actualizaciones de seguridad.

Más recientemente, en noviembre de 2022, Microsoft parchó otro conjunto de errores de Exchange conocidos como ProxyNotShell que permiten la escalada de privilegios y la ejecución remota de código en servidores comprometidos dos meses después de que se detectara por primera vez la explotación en estado salvaje.

El exploit de prueba de concepto (PoC) que los atacantes utilizaron para los servidores Exchange de puerta trasera se lanzó en línea una semana después de que se emitieran las actualizaciones de seguridad de ProxyNotShell.

Por último, pero no menos importante, CISA ordenó a las agencias federales que corrigieran un error de Microsoft Exchange denominado OWASSRF y del que la pandilla de ransomware Play abusó como un día cero para evitar las mitigaciones de reescritura de URL de ProxyNotShell en servidores sin parchear pertenecientes al proveedor de computación en la nube con sede en Texas, Rackspace.

Esto demuestra aún más la importancia de seguir los consejos de Microsoft para implementar las últimas CU compatibles en todos los servidores de Exchange locales, ya que las medidas de mitigación por sí solas no necesariamente defenderán contra atacantes motivados y con buenos recursos, ya que solo brindan protección temporal.

Para poner las cosas en perspectiva, a principios de este mes, los investigadores de seguridad de Shadowserver Foundation descubrieron que más de 60 000 servidores de Microsoft Exchange expuestos en línea aún son vulnerables a los ataques que aprovechan las vulnerabilidades de ProxyNotShell dirigidas a la vulnerabilidad de ejecución remota de código (RCE) CVE-2022-41082.

Para empeorar las cosas, una búsqueda en Shodan muestra una cantidad considerable de servidores de Exchange expuestos en línea, con miles que aún esperan ser protegidos de los ataques dirigidos a las fallas de ProxyShell y ProxyLogon, algunas de las vulnerabilidades más explotadas de 2021.

Fuente: Bleeping Computer