Contenido
- Hafnium Microsoft Exchange Breach: impacto en las empresas
- ¿Cómo sabes que tu Exchange Server está comprometido?
Hafnium, un grupo de amenazas supuestamente patrocinado por China, ha atacado servidores de Exchange locales en todo el mundo. El grupo explotó la vulnerabilidad de omisión de autenticación en servidores Exchange locales sin parches para obtener acceso a los servidores. Después de obtener acceso, instalaron shells web para controlar de forma remota el servidor y robar información confidencial, como las direcciones de correo electrónico y las contraseñas de los empleados.
En respuesta al ataque de Hafnium, Microsoft ha lanzado la Herramienta de mitigación local de Exchange (EOMT). La herramienta ayuda a mitigar los riesgos para los servidores de Exchange locales, en los que no están instalados los parches de seguridad. La herramienta EOMT funciona con Exchange Server 2013, 2016 y 2019.
Hafnium Microsoft Exchange Breach: impacto en las empresas
Hafnium se dirigió a las pequeñas y medianas empresas (PYME) de todo el mundo. Las pymes son generalmente más vulnerables y se ven afectadas por este tipo de ataques maliciosos debido a la falta de rigor y experiencia en ciberseguridad. También pueden enfrentar desafíos importantes para investigar y proteger sus sistemas contra ransomware o ataques maliciosos debido a la falta de recursos.
A diferencia de las grandes empresas, las pequeñas empresas confían principalmente en las actualizaciones de seguridad de Microsoft para proteger sus servidores Exchange locales de las vulnerabilidades. Sin embargo, parchear las fallas de seguridad no elimina las consecuencias de la piratería. En el caso de un ataque malicioso, como el episodio de Hafnium, es fundamental investigar el servidor y eliminar rápidamente los shells web, el malware, etc.
¿Cómo sabes que tu Exchange Server está comprometido?
Para determinar si Hafnium tiene como objetivo su Exchange Server, descargue y ejecute la Herramienta de mitigación local de Exchange (EOMT) de Microsoft a través de Exchange Management Shell. Microsoft ha desarrollado la herramienta de mitigación de un solo clic para abordar la vulnerabilidad ProxyLogon RCE al ayudar a encontrar y eliminar shells web y malware instalado en el servidor comprometido.
El script EOMT.ps1 se encuentra en la siguiente ubicación después de extraer la carpeta comprimida:
CSS-Exchange-mainCSS-Exchange-mainSecuritysrc ubicación
Navegue a la ubicación anterior en EMS y luego ingrese el siguiente comando para ejecutar el script EOMT.ps1:
.EOMT.ps1
Si el servidor no está comprometido, instale los parches y las actualizaciones de seguridad publicadas por Microsoft.
Si el servidor está comprometido, comuníquese con el soporte de Microsoft o comuníquese con un proveedor de seguridad para obtener soporte si no tiene seguridad interna o un equipo de respuesta a incidentes.
Aunque la herramienta EOMT ejecuta un escaneo MSERT, existe la posibilidad de que su servidor aún tenga instalados shells web y malware o puertas traseras. Y dado que muchos otros actores de amenazas también están explotando las vulnerabilidades, los atacantes aún pueden acceder a su servidor a través de estos shells web ocultos y puertas traseras.
Por lo tanto, se recomienda configurar un nuevo servidor de Exchange. Luego puede exportar los buzones de correo de su servidor comprometido a un archivo PST e importar los buzones de correo PST a la base de datos en el nuevo servidor de Exchange en vivo a través del Centro de administración de Exchange (EAC). Además, restablezca todas las contraseñas.
Sin embargo, este proceso no es simple y es posible que no funcione si el servidor se rompió o se bloqueó después del ataque Hafnium. En tal caso, puede utilizar un software de recuperación de servidor de Exchange de terceros, como Reparación estelar para intercambio . La herramienta lo ayuda a extraer buzones de la base de datos del servidor de Exchange fuera de línea o bloqueado y exportarlos a la base de datos del buzón en el nuevo servidor de Exchange. Asigna automáticamente los buzones de correo de origen y de destino y lo ayuda a restaurar la conectividad del buzón con un tiempo de inactividad mínimo. Si no se encuentra un buzón en el servidor de destino, el software ofrece una opción para crear un nuevo buzón y asignarlo manualmente.
Conclusión
Hafnium se dirigió a pequeñas y medianas empresas, instituciones gubernamentales y organizaciones de todo el mundo. El alcance de la brecha fue tan significativo que llevó a Microsoft a implementar parches de seguridad para las versiones heredadas y no compatibles del servidor de Exchange. Sin embargo, cuando Microsoft lanzó los parches, Hafnium ya había violado miles de servidores Exchange.
Si su servidor de Exchange se bloqueó debido al ataque de Hafnium, se recomienda configurar un nuevo servidor de Exchange idéntico y luego exportar los buzones de correo al nuevo servidor utilizando un software de recuperación de Exchange.
