Ya ha pasado más de un mes desde que Microsoft admitiese que ocurrió una filtración de datos en sus servidores in situ de Microsoft Exchange Server. Los atacantes obtuvieron privilegios de administrador en los servidores afectados, acceso a los correos electrónicos y contraseñas de los usuarios y también a los dispositivos conectados a la misma red. También se han hecho más revelaciones al respecto.
Antecedentes del hackeo a Microsoft Exchange Server
El 5 de enero de 2021, un investigador de la compañía de testing de seguridad DEVCORE emitió el primer informe conocido de la vulnerabilidad a Microsoft. Este fue verificado por Microsoft el 8 de enero. Diversas filtraciones en los servidores de Microsoft Exchange Server fueron observadas también por otros actores ese mismo mes, y todos alertaron a Microsoft.
Entre 26 y el 27 de febrero, los atacantes comenzaron a escanear masivamente los servidores de Microsoft Exchange Server para añadirles «backdoors» (software que genera puntos de acceso clandestinos) Esto parece haber sido perpetrado anticipándose a un parche de software anunciado por Microsoft.
El 2 de marzo, Microsoft publicó actualizaciones para remediar 4 vulnerabilidades «zero-day» en el código base de Microsoft Exchange Server, atribuyéndole el ataque (con alto nivel de fiabilidad) a un conocido grupo de hackers. Posteriormente hubo otros grupos de hackers que se vincularon al ataque.
El 5 de marzo, un conocido periodista de ciberseguridad publicó la primicia de que no menos de 30.000 organizaciones en los EE. UU. y miles más a nivel mundial ahora tenían instaladas «backdoors». Los expertos en seguridad se han esforzado por notificar a las víctimas y a la vez hacer hincapié en que es necesario prepararse para otra serie de ataques debido a «backdoors» instaladas previamente en los servidores afectados.
Situación actual del hackeo a Microsoft Exchange Server
El 12 de marzo de 2021, Microsoft twitteó que aún hay alrededor de 82.000 servidores de Microsoft Exchange en riesgo, por no haber recibido el parche. Sin embargo, debido al no haber hecho la actualización oportunamente, muchos de esos servidores siguen teniendo fugas. Un cierto número de ransomware fueron desplegados por los atacantes en el interín en servidores previamente infectados.
El 22 de marzo, Microsoft anunció que en el 92% de los servidores in situ de Microsoft Exchange, los efectos del hackeo habían sido corregidos o mitigados.
El 12 de abril, la CISA había agregado dos Informes de Análisis de Malware (MAR, del inglés «Malware Analysis Reports») a la Alerta AA21-062A: Mitigación de las Vulnerabilidades en Microsoft Exchange Server. Microsoft continuó mitigando los problemas relacionados en la actualización de seguridad de abril de 2021.
Como los ataques utilizaron 4 vulnerabilidades de «día cero», vinculándolos entre sí para obtener acceso de administrador en los servidores afectados, lograron instalar puertas traseras. Por lo tanto, es muy importante para cualquier servidor in situ de Microsoft Exchange Server que no solo se aplique la revisión sino que también se corrija cualquier efecto o persistencia (implementando las directrices de Microsoft y otros IoC independientes)
Mailfence no resultó afectado
Mailfence ofrece conectividad mediante el protocolo ActiveSync Nuestra implementación de Exchange ActiveSync (EAS) usa las especificaciones de Microsoft, pero es un protocolo de sincronización que no tiene nada que ver con los servidores de Exchange. Simplemente tienen la palabra «exchange» en su nombre, pero es por coincidencia. No compartimos código en absoluto con el servidor Microsoft Exchange Server in situ (ni con ninguno de sus servicios). Por tanto, nuestro servicio no resulta impactado.
También anunciamos esto mediante nuestra cuenta de Twitter:
Opte por servicios que sean privados por diseño y que promuevan el cifrado
Mailfence es un servicio de webmail seguro y privado que respeta la privacidad de los datos de sus usuarios y ofrece cifrado de extremo a extremo para los mensajes de correo electrónico. Los datos cifrados de extremo a extremo permanecen protegidos incluso en un servidor en situación de peligro. Tenemos planes de expandir ese tipo de cifrado a los mensajes de texto simple enviados/recibidos y también a los componentes de la documentación. Además también estaremos implementando el cifrado para los datos almacenados (o «datos en reposo»), lo que añadirá una capa adicional de protección para los datos de los usuarios. ¡Manténgase atentos!
Síganos en twitter/reddit y manténgase actualizado en todo momento.