Los ataques a Microsoft Exchange – cómo comenzaron y dónde estamos
Los parches de emergencia para las vulnerabilidades críticas reveladas recientemente en el servidor de correo electrónico de Microsoft Exchange no llegaron lo suficientemente pronto. Es decir, las organizaciones tuvieron poco tiempo para prepararse antes de que comenzara la explotación masiva.
Identificadas con el nombre de ProxyLogon, las vulnerabilidades han sido explotadas en el entorno incluso antes de que Microsoft recibiera el informe de vulnerabilidad. Esto les dio a los atacantes una ventaja de dos meses para vulnerar los objetivos antes de que las actualizaciones de seguridad estuvieran disponibles.
Los servidores vulnerables son objetivos atractivos para un amplio espectro de grupos de ciberdelincuentes. Estos grupos buscan un punto de apoyo inicial en una red con fines de espionaje o financieros. Los hackers de estados-nación, los grupos de ransomware y las actividades de criptominería ya han aprovechado ProxyLogon.
A pesar de haber lanzado los parches, el código de explotación de prueba de concepto (PoC) rondando en línea ha dificultado la mitigación. Miles de servidores de Microsoft Exchange en todo el mundo continúan siendo vulnerables y la cantidad de ataques sigue siendo preocupante.