En enero de 2021, varios ciberataques globales se dirigieron a vulnerabilidades en las versiones 2010, 2013, 2016 y 2019 de Microsoft Exchange Server. La vulnerabilidad ProxyLogon de Exchange Server permite a los atacantes leer correos electrónicos desde un servidor Exchange físico local sin necesidad de autenticación. Además, proporciona una vía para ataques en varias etapas que pueden comprometer por completo el servidor de correo de la víctima aprovechando vulnerabilidades adicionales.
Microsoft publicó actualizaciones el 2 de marzo de 2021 para corregir las vulnerabilidades. Sin embargo, diez días después, anunciaron que se había desplegado un ransomware en los servidores inicialmente infectados. El ransomware cifró los archivos y los dejó inoperativos hasta que se recibiera el pago. De hecho, varias organizaciones afectadas por la vulnerabilidad de Exchange Server, como ACER, Buffalo Public Schools y Molson Coors Beverage Company, están informando de ataques posteriores del ransomware REvil.
Naturalmente, este ataque tan sofisticado puede plantear dudas sobre si la vulnerabilidad del servidor Exchange podría afectar en última instancia a su empresa a través de sus proveedores, distribuidores y otros terceros.
| Pregunta | Respuestas posibles |
|---|---|
| 1) ¿Se ha visto afectada la organización por la reciente vulnerabilidad ProxyLogon de Microsoft Exchange?
(Seleccione una opción) |
a) Sí, nos hemos visto afectados como consecuencia de la reciente vulnerabilidad de Microsoft Exchange ProxyLogon.
b) No, no nos hemos visto afectados por la reciente vulnerabilidad ProxyLogon de Microsoft Exchange. c) La organización no está segura de si se ha visto afectada como consecuencia de la reciente vulnerabilidad ProxyLogon de Microsoft Exchange. |
| 2) ¿Ha implementado la organización los parches recientemente publicados por Microsoft en los sistemas afectados?
(Seleccione una opción) |
a) Sí, la organización ha obtenido, probado e instalado correctamente los parches publicados por Microsoft.
b) No, la organización aún no ha obtenido, probado e instalado los parches publicados por Microsoft. c) La organización no puede instalar las actualizaciones proporcionadas por Microsoft. |
| 3) Si la organización no puede instalar las actualizaciones recomendadas, ¿se han tomado las siguientes medidas basadas en las mitigaciones de vulnerabilidades del servidor propuestas por Microsoft?
(Seleccione todas las opciones que correspondan) |
a) Implementar una regla de reescritura IIS para filtrar solicitudes https maliciosas.
b) Desactivar la mensajería unificada (UM). c) Desactive el VDir del Panel de control de Exchange (ECP). d) Desactivar la carpeta de direcciones sin conexión (OAB) VDir. e) La organización no puede aplicar ninguna de las medidas de mitigación recomendadas por Microsoft. |
| 4) Si la organización no puede instalar las actualizaciones recomendadas o aplicar las medidas de mitigación recomendadas por Microsoft, ¿se han tomado las siguientes medidas?
(Seleccione todas las opciones que correspondan) |
a) Bloquear las conexiones no fiables al puerto 443 del servidor Exchange.
b) Cuando ya se disponga de soluciones de acceso remoto seguro, configurar Exchange para que solo esté disponible de forma remota a través de esta solución. |
| 5) ¿Ha buscado la organización de forma proactiva en los sistemas pruebas de compromiso, de acuerdo con las directrices de Microsoft?
(Seleccione todas las opciones que correspondan) |
a) La organización está utilizando la «Guía para los responsables de la respuesta: Investigación y corrección de vulnerabilidades en servidores Exchange locales» como ayuda en las actividades de corrección.
b) La organización ha instalado la herramienta Microsoft Exchange On-premises Mitigation Tool (EOMT) como medio para identificar sistemas que presenten indicios de compromiso. c) La organización ha consultado el documento consultivo TLP WHITE de la CISA y el FBI como medio para investigar más a fondo y mitigar las vulnerabilidades. |
| 6) ¿Cuenta la organización con un plan de investigación y respuesta ante incidentes?
(Seleccione todas las opciones que correspondan) |
a) La organización cuenta con una política documentada de gestión de incidentes.
b) La política de gestión de incidentes incluye normas para informar sobre eventos y vulnerabilidades relacionados con la seguridad de la información. c) Se desarrolla un plan de respuesta ante incidentes como parte de la investigación y recuperación de incidentes. d) La planificación de la respuesta ante incidentes incluye procedimientos de escalamiento a partes internas y procedimientos de comunicación con los clientes. |
| 7) ¿Quién es la persona de contacto designada para responder a preguntas adicionales? | Nombre: Cargo: Correo electrónico: Teléfono: |
| 8) ¿Cuál es el nivel de impacto en los sistemas y datos de los clientes tras esta vulnerabilidad?
(Seleccione una opción) |
a) Esta vulnerabilidad no ha tenido ningún impacto en los sistemas ni en los datos de los clientes.
b) Esta vulnerabilidad ha tenido un impacto reducido en los sistemas o datos de los clientes. c) Esta vulnerabilidad tiene un alto nivel de impacto en los sistemas o datos de los clientes. d) Esta vulnerabilidad ha tenido un impacto significativo en los sistemas o datos de los clientes. |
Tres niveles de cobertura para adelantarse a las infracciones de terceros
La vulnerabilidad ProxyLogon de Microsoft Exchange es un importante recordatorio de que mitigar el impacto de los ataques dirigidos a terceros requiere múltiples capas de detección, tanto proactivas como reactivas. A continuación, presentamos tres niveles de cobertura que consideramos esenciales:
1. Supervisar las divulgaciones de infracciones por parte de terceros.
Establecer un seguimiento continuo de las divulgaciones de infracciones de terceros, las actualizaciones de noticias y los registros normativos y legales es un primer paso importante, ya que proporciona indicadores cualitativos de que podría producirse una vulneración. Sin embargo, el simple hecho de supervisar sitios web de noticias, publicaciones en redes sociales u obtener actualizaciones diarias de una fuente RSS no le permitirá cuantificar ni analizar el impacto de dichos anuncios ni actuar en consecuencia. Por eso es importante buscar información cualitativa en un servicio centralizado que incluya cientos de miles de fuentes públicas y privadas y le permita reunir los datos en un registro de riesgos unificado.
2. Supervisar otros indicadores de amenazas cibernéticas.
El análisis de vulnerabilidades en las propiedades web públicas de los proveedores solo revelará una pequeña parte de los riesgos a los que ellos (y, por lo tanto, usted) están expuestos. Profundice más supervisando foros criminales, páginas onion, foros de acceso especial de la deep dark web, fuentes de amenazas, sitios de pegado de credenciales filtradas, así como comunidades de seguridad, repositorios de código y, por último, bases de datos de vulnerabilidades. Sin embargo, como se ha mencionado anteriormente, supervisar esta actividad por su cuenta es demasiado complejo y requiere mucho tiempo, incluso si se limita a sus proveedores de alto nivel. En su lugar, centralice esta actividad en un único servicio que supervise la inteligencia de ciberseguridad y pueda activar automáticamente medidas correctivas basadas en los resultados.
3. Complementar las evaluaciones puntuales con una respuesta rápida.
SolarWinds, Accellion y ahora Microsoft Exchange. Los incidentes de seguridad de alto perfil y las violaciones perjudiciales que afectan a terceros han ido en aumento. Sin embargo, muchas organizaciones tienen dificultades para recibir notificaciones oportunas sobre el impacto de sus proveedores. Esto puede retrasar la identificación y mitigación de riesgos y, en última instancia, dar lugar a una exposición no deseada. ¿Por qué? Los enfoques existentes para la notificación de eventos de los proveedores son muy manuales, no ofrecen a terceros la oportunidad de cuantificar su riesgo ni proporcionan un contexto significativo del incidente, y carecen de directrices prescriptivas de corrección para poner en marcha el proceso de mitigación de riesgos.
¿Cómo puede su organización ayudar a sus proveedores a acelerar el proceso de notificación de incidentes? Evalúe a sus proveedores mediante un cuestionario personalizable que se activa automáticamente ante cualquier incidente, les permite enviar evaluaciones de forma proactiva y ofrece orientación prescriptiva para identificar y mitigar rápidamente el impacto de un incidente de seguridad.
Nada de eso es posible viendo las noticias o intercambiando hojas de cálculo por correo electrónico. Las plataformas de evaluación centralizadas automatizan las tareas críticas necesarias para descubrir, cuantificar y remediar rápidamente los riesgos derivados de las vulnerabilidades de los proveedores, sin sobrecargar a su equipo.
Próximos pasos
Asegúrese de descargar el PDF de la Evaluación de vulnerabilidad de ProxyLogon de Microsoft Exchange Server de terceros. Esperamos que el cuestionario le proporcione cierta garantía de que sus proveedores y distribuidores han implementado los controles necesarios para abordar esta vulnerabilidad crítica.
Dado que los ciberataques dirigidos a esta vulnerabilidad han evolucionado hasta incluir ransomware, asegúrese de descargar también la evaluación gratuita de ransomware de Prevalent para identificar las deficiencias inmediatas que podrían afectar a la preparación de su organización para reaccionar ante amenazas de ransomware similares.
Una vez que se calme la situación, recuerde que Prevalent ofrece una plataforma de gestión de riesgos de terceros que incluye más de 60 plantillas de cuestionarios diseñadas para ayudarle a automatizar las tediosas tareas de evaluación de proveedores y complementa los resultados con una supervisión continua de la ciberseguridad y las infracciones. Póngase en contacto con nosotros hoy mismo para programar una sesión estratégica.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
