Imagen: Microsoft

Las autoridades federales de EE. UU. intervinieron para eliminar el código de puerta trasera malicioso colocado por los atacantes en los servidores vulnerables de Microsoft Exchange en todo el país. En un comunicado de prensa el martes, el Departamento de Justicia de EE. UU. anunció el esfuerzo autorizado por la corte para copiar y eliminar shells web que se habían instalado en las versiones locales del software Microsoft Exchange Server. Los shells web son fragmentos de código maliciosos que brindan a los atacantes acceso administrativo remoto continuo a un sistema comprometido.

VER: Los 10 principales ciberataques de la década (PDF gratuito) (República Tecnológica)

En marzo, Microsoft y otras compañías revelaron una serie de ataques cibernéticos por parte de piratas informáticos chinos y otros grupos en los que explotaron múltiples fallas de día cero en Exchange Server para obtener acceso a cuentas de correo electrónico confidenciales. Los ataques surgieron inicialmente en enero, pero continuaron mientras las organizaciones afectadas se apresuraban a corregir las vulnerabilidades.

Muchos usuarios de Exchange pudieron deshacerse de los shells web por sí mismos, según el Departamento de Justicia. Pero otros no pudieron hacerlo, lo que llevó a las autoridades federales a intervenir. Este último esfuerzo eliminó los últimos shells web de un grupo de piratas informáticos específico, lo que les habría dado acceso permanente a los servidores de Exchange en los Estados Unidos si se hubieran quedado.

VER: Política de respuesta a incidentes de seguridad (Premium de TechRepublic)

El FBI llevó a cabo la operación enviando un comando a través de cada shell web para obligar a los servidores a eliminar solo la parte del shell web. Cada uno de los shells web tenía un nombre de archivo y una ubicación únicos, un factor que probablemente hizo que eliminarlos fuera más difícil para las personas acostumbradas a tratar con código genérico.

“Primero, este es un fuerte indicador de la medida en que estas vulnerabilidades han sido explotadas con fines nefastos y el riesgo que el FBI percibe que está presente”, dijo Tim Wade, director técnico del equipo de CTO en Vectra. “En segundo lugar, es probable que también exponga los desafíos que enfrentan las organizaciones individuales en las fases de detección, respuesta y remediación de un ataque; es probable que al menos un subconjunto de los objetivos del FBI hayan remediado pero no estaban lo suficientemente equipados para erradicar por completo el control. del adversario

Aunque el FBI logró eliminar los shells web restantes, no eliminó ningún otro malware o componente de piratería que los atacantes pudieran haber instalado. Como tal, las organizaciones aún deben tomar medidas específicas para mitigar completamente la amenaza. Se recomienda a aquellos con servidores Exchange internos que sigan las instrucciones de Microsoft sobre vulnerabilidades y apliquen los parches necesarios para las vulnerabilidades de día cero.

VER: Cómo administrar contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (República Tecnológica)

El FBI dijo que está notificando a los usuarios de Exchange sobre la operación enviándoles un correo electrónico directamente a través de la información de contacto disponible públicamente. Para los usuarios cuyos detalles de contacto no están disponibles públicamente, la agencia enviará los detalles por correo electrónico al ISP de la organización para reenviarlos a la víctima.

"La velocidad con la que el FBI notifica a las víctimas es crítica", dijo Rick Holland, CISO y vicepresidente de estrategia de Digital Shadows. “El proceso de notificación del FBI en sí brinda a los actores la capacidad de apuntar a nuevas víctimas. Los malos actores pueden configurar un señuelo de phishing que pretende provenir de una dirección legítima del FBI para realizar ingeniería social en sus objetivos.

Además, los esfuerzos del FBI no acaban con la amenaza.

“El FBI solo eliminó los shells web, no las vulnerabilidades del software en sí”, dijo Holland. “Los actores chinos sin duda ya tendrán medios adicionales para mantener la persistencia en sus redes de víctimas. Veremos una "fiebre del oro" de otros actores maliciosos que buscan volver a infectar los servidores de Exchange sin parches. »