PyME, ¿cómo prevenir daños a través de vulnerabilidades de Microsoft Exchange?

El inicio de 2021 no ha sido el mejor para la seguridad de Microsoft. Tan sólo durante la primera semana de marzo, Microsoft y los investigadores de seguridad revelaron cuatro vulnerabilidades de Microsoft Exchange.

¿En qué consisten las vulnerabilidades de Microsoft Exchange?

Las vulnerabilidades reportadas permiten que los atacantes se apoderen por completo del servidor de Exchange. Las principales afectadas son, por supuesto, las PyMes, pero a fin de apoyar la seguridad empresarial de pequeños y medianos comercios, Avast ha compartido una serie de consejos útiles. Estos son:

1.- Parchar el sistema ahora

Los parches ya están disponibles. Sin embargo, lo importante es tener en cuenta que la implementación de los parches solo protegerá los sistemas de cualquier intento futuro de explotar estas vulnerabilidades; no ayuda a proteger contra cualquier intento de ataque a esas vulnerabilidades que puedan haber ocurrido ANTES de que se aplicaran los parches. Y si el sistema ha sido atacado, los parches NO desharán nada de lo que los atacantes hayan hecho. Los parches solo corrigen vulnerabilidades, no eliminan las herramientas de los atacantes u otras cosas que le hayan hecho al sistema cuando lo comprometieron. Esto significa que después de aplicar los parches, hay más trabajo que hacer.

Continuidad operativa, el apoyo de las TIC al crecimiento económico

2.- Determina si sufriste un ataque

Utilizar la información proporcionada por Microsoft para determinar si el sistema se ha visto comprometido a través de al menos algunos de los ataques que se sabe que se llevan a cabo contra estas vulnerabilidades. Si las empresas encuentran información en sus servidores de Exchange que coincide con la del aviso de Microsoft, es probable que los sistemas se hayan visto comprometidos por estos ataques y deberán tomar más medidas para recuperarse.

3.- Recuperación: «desconectar y reconstruir»

Estos son pasos estándar recomendados en cualquier situación comprometida. Al desconectar el sistema comprometido (o potencialmente comprometido) de inmediato, se cierra la puerta de acceso del atacante. Incluso si el sistema ha sido parchado, los atacantes pueden tener otros medios para controlar el sistema comprometido: parchear por sí solo no cambiará eso.

La desconexión corta el acceso al sistema y el acceso a su red a través de ese sistema. Cuando un sistema se ve comprometido de esta manera, reconstruirlo por completo es el mejor paso para eliminar a los atacantes y sus herramientas del sistema. En su lugar, puede considerarse restaurar el sistema a partir de copias de seguridad. La empresa debe asegurarse de que está utilizando una copia de seguridad previa al ataque para realizar la restauración.

Desafortunadamente, si se restaura a partir de una copia de seguridad posterior al que el sistema se vio comprometido, estarán restaurando el sistema, las herramientas y el acceso de los atacantes, anulando el propósito de la restauración. Además, al reconstruir o restaurar, se debe parchear el sistema ANTES de volver a conectarlo y volverlo a poner en servicio. En situaciones como esta, no es frecuente que un sistema reconstruido o restaurado sin parches se vea comprometido nuevamente antes de que se pueda parchear, y eso hará que regresen al punto de partida en su proceso de recuperación.

4.- Monitoreo de futuras actividades maliciosas

Las empresas afectadas deben implementar un monitoreo que pueda identificar un comportamiento inusual en la red, lo que podría apuntar a otros signos de un compromiso más amplio. Algunas cosas clave a tener en cuenta son la actividad inusual con el nivel de administrador y las cuentas de servicio, el tráfico de red inusual a sistemas desconocidos en ubicaciones geográficas inesperadas y la actividad inusual de acceso remoto.

Esta no es una lista exhaustiva, pero sí algunos puntos clave en los que centrarse. Desafortunadamente, Avast ha descubierto que los atacantes con presencia en la red pueden ser difíciles de detectar, incluso para los expertos. La ayuda de expertos es realmente necesaria para determinar si existe algún otro compromiso en la red.

Además del monitoreo, es importante determinar si todos los sistemas están completamente actualizados para todos los parches para los sistemas operativos y aplicaciones. También se debe considerar realizar análisis de seguridad agresivos en todos y cada uno de los sistemas posibles. Esto puede ayudar a identificar otro malware o herramientas que los atacantes puedan haber colocado en los sistemas y redes.