Los informes se siguen entre sí (Ansi, Clusif o CISA) y muestre que los ciberdelincuentes tienen un apetito particular por los servidores de intercambio. En unos meses, Microsoft Jugó al bombero corrigiendo varias fallas críticas que afectan estos sistemas de mensajería dentro del parche del martes. Y los actores de amenaza lo usan rápidamente como se muestra Rackspace Hacking de Ransomware Play. Razones adicionales para que Microsoft suba al nicho para alertar los riesgos de riesgos y peligros.

La firma de Redmond insta a las empresas y organizaciones a instalar las últimas actualizaciones acumulativas y soluciones de seguridad. También deben activar manualmente ciertas tareas, como la protección extendida y la firma de certificados para cargas útiles de serialización de PowerShell. Para ayudarlos, el editor recomienda ejecutar la herramienta de verificación de salud después de haber configurado una actualización para ver qué tareas manuales se deben realizar.

Una puerta de entrada a AD y Cloud

"Los atacantes que buscan explotar los servidores de intercambio sin cambios no desaparecerán", escribe el equipo a cargo de Exchange en un blog. Agregan que "estos sistemas vulnerables son preciosos para los piratas informáticos que buscan exfiltración de datos u otros actos criminales". Otro punto subrayado por Microsoft Experts: "Exchange tiene enlaces y autorizaciones profundas en Active Directory y en entornos híbridos, tiene acceso a los ecosistemas de la nube".

Los ciberdelincuentes escanean permanentemente puertos abiertos a través de herramientas como Shodan, para detectar servidores vulnerables. Está buscando sistemas que no hayan aplicado el parche del martes como el de noviembre de 2022 pegando dos fallas críticas, proxynotshell, ampliamente explotada. Uno es un error de ejecución de código remoto (RCE), el otro es una solicitud de una solicitud de un servidor en el servidor. También podemos mencionar un boletín de marzo de 2021, que corre urgentemente la vulnerabilidad de proxylogon, utilizada por el grupo Hafnium y una docena de pandillas. Más recientemente, los investigadores de la editorial de ProDaft descubrieron el año pasado, durante una encuesta de FIN7, que el grupo ruso operaba vulnerabilidades a cambio. Utilizó un sistema de ataque automatizado diseñado para robar datos y determinar si la compañía era un buen objetivo para el ataque de ransomware, en función de su información financiera.