Un reciente informe ha revelado que un actor malicioso no identificado ha estado explotando vulnerabilidades en Microsoft Exchange Server para infiltrar sistemas con un keylogger, afectando a varias entidades en África y Oriente Medio. La empresa de ciberseguridad Positive Technologies ha reportado que esta campaña ha comprometido a más de 30 organizaciones, incluyendo organismos gubernamentales, instituciones financieras y centros educativos. El primer registro de este compromiso en MS Exchange Server data de 2021.
El Fallo en MS Exchange Server
Positive Technologies ha detallado cómo este keylogger opera, recopilando de forma encubierta credenciales de cuentas y almacenándolas en un archivo accesible a través de una ruta específica en Internet. Entre los países afectados se encuentran Rusia, Emiratos Árabes Unidos, Kuwait, Omán, Níger, Nigeria, Etiopía, Mauricio, Jordania y Líbano.
Vulnerabilidades Exploitable en MS Exchange Server
La infiltración aprovechó vulnerabilidades conocidas como fallos ProxyShell, específicamente identificados como CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. Estos fallos, abordados por Microsoft en mayo de 2021, permitían la evasión de autenticación, elevación de privilegios y ejecución remota de código, facilitando la instalación del keylogger en la página principal de Exchange Server.
Cadena de Explotación de Vulnerabilidades
El proceso de ataque comienza con la explotación de las vulnerabilidades de ProxyShell, seguido del despliegue del keylogger en el archivo «logon.aspx» de la página principal del servidor. Este keylogger captura las credenciales de usuario y las almacena en un archivo accesible a través de Internet cada vez que se hace clic en el botón de inicio de sesión.
Impacto Global y Medidas de Protección
A pesar de una investigación exhaustiva, Positive Technologies no ha podido atribuir estos ataques a un actor o grupo específico debido a la falta de información concluyente. Sin embargo, la empresa recomienda encarecidamente a las organizaciones actualizar sus instancias de Microsoft Exchange Server a la última versión para mitigar los riesgos. Además, se sugiere implementar una vigilancia constante del sistema y monitorear la página principal de Exchange Server en busca de signos de compromiso, especialmente la presencia del keylogger en el archivo «logon.aspx».
Estrategias de Respuesta a Incidentes
Garantizar la seguridad del servidor de correo electrónico es crucial en el entorno digital actual. Las organizaciones deben actualizar sus instancias de Exchange Server de manera oportuna y realizar evaluaciones exhaustivas para asegurar la integridad de sus sistemas. Incorporar inteligencia sobre amenazas en las operaciones de ciberseguridad puede mejorar significativamente las estrategias de detección y mitigación de amenazas. Mantener una vigilancia constante y aplicar protocolos de seguridad robustos permitirá a las organizaciones fortalecer sus defensas contra intrusiones maliciosas.
Las vulnerabilidades explotables en Microsoft Exchange Server para desplegar programas maliciosos de registro de pulsaciones de teclas subrayan la constante evolución del panorama de amenazas a la ciberseguridad. Manteniéndose informadas, adoptando actualizaciones de seguridad y colaborando con expertos en ciberseguridad, las organizaciones pueden proteger sus activos digitales y mantener la integridad de sus operaciones frente a las amenazas emergentes.
Fuentes: The Hacker news, SCMagazine y Tuxcare.
