Tras las recientes noticias sobre las vulnerabilidades de Microsoft, se develaron ataques llevados a cabo por el grupo de cibercriminales Hafnium. Las organizaciones deben identificar estas amenazas y mitigar ataques sufridos o tomar las previsiones ante futuros ataques.
Las vulnerabilidades de Microsoft permiten a los atacantes como Hafnium ejecutar de forma remota comandos en los servidores afectados sin necesidad de credenciales. Cualquier amenaza podría aprovecharse de ellas. El uso de Exchange y su exposición a Internet significan que muchas organizaciones que ejecutan un servidor local de Exchange podrían estar en riesgo.
Los ciberatacantes están explotando activamente estas vulnerabilidades. La técnica principal es el despliegue de un webshell. Puede permitir que la amenaza ejecute comandos de forma remota mientras este webshell esté presente.
Lo primero es que las empresas que utilizan un servidor Exchange local deben asumir que están afectadas. Asimismo, como primera acción deberán parchear sus dispositivos Exchange y confirmar que las actualizaciones se han realizado correctamente. Sin embargo, la simple aplicación de los parches no elimina de la red los artefactos anteriores al parche. Las organizaciones necesitan personas a cargo e inteligencia para determinar si se han visto afectadas y en qué medida para neutralizar el ataque y eliminar al enemigo de sus redes.
Las empresas deben revisar los registros del servidor en busca de sospechas de que un atacante pueda haber explotado su servidor Exchange. Gran parte de los actuales indicadores de compromiso conocidos están basados en el webshell, por lo que habrá restos de archivos en el servidor Exchange. Por esa razón, es importante tener una visión general de los archivos y de cualquier modificación de estos. Si se instala un producto de detección y respuesta de endpoints (EDR), también se pueden revisar los registros y procesar la ejecución de comandos.
De identificarse alguna actividad sospechosa, debe determinarse su exposición, ya que se podrá decidir qué hacer posteriormente. Es necesario comprender la duración o el impacto que puede haber tenido esta actividad. Será conveniente pedir apoyo externo si no se está seguro de qué hacer. La respuesta forense y frente a incidentes de terceros puede ser vital en esta etapa, ya que ofrece una detección y caza de amenazas experimentada e inteligencia humana que puede ahondar en la red y encontrar a los atacantes.
Fuente: Sophos
Para más información ingresar aquí.
Comentarios