Antes de que ESET arrojara luz sobre una gran cantidad de grupos de Amenazas Persistentes Avanzadas (APT) que explotaban vulnerabilidades en servidores Exchange en todo el mundo, un número menor efectuaba ataques dirigidos Zero-Day, lo que llevó a los Operadores de Seguridad Informática (CISO) de las empresas a reconsiderar su enfoque de seguridad.
Al inicio de 2021, el ataque a la cadena de suministro de SolarWinds se reveló cada vez más peligroso de lo que se informó inicialmente, lo que proporcionó un fuerte recordatorio de las muchas dependencias involucradas en la seguridad de la entrega e integración de software, y el hecho de que estos factores pueden conducir a ciberataques inesperados: en este caso, una actualización del software legítimo de Orion se combinó con malware.
Ahora, la reciente serie de ataques contra Microsoft Exchange perpetrados por al menos 10 grupos de APT marcará nuestra memoria con otra lección: la importancia de reducir la superficie de ataque de aplicaciones comerciales como Exchange o SharePoint. Para las personas en muchos trabajos, incluidos los funcionarios públicos, los administradores de seguridad de TI, el personal de relaciones públicas, etc., la comunicación y la respuesta oportuna, incluso fuera del horario laboral, es indispensable, y el correo electrónico suele ser la herramienta de elección.
Si bien Exchange se ha hecho conocido como "la opción corporativa" para los servicios de correo electrónico, también ha atraído el interés de los grupos APT, lo que significa que proteger los servidores Exchange es primordial. Pero incluso para el personal de TI, simplemente poner en funcionamiento la versión local de Exchange puede ser un obstáculo porque es una aplicación compleja y mantenerla puede ser como montar un caballo salvaje.
Como demostró la explotación masiva de los servidores de Exchange, puede ser muy difícil parchear a tiempo para evitar verse comprometido. Como mínimo, las organizaciones deberían aumentar el nivel de dificultad contra los intrusos al exigir una red privada virtual (VPN) y autenticación multifactorial para asegurar mejor el acceso a los servidores de correo electrónico sin depender de Internet.
Un ataque frenético: los grupos de APT compiten contra el tiempo para explotar las vulnerabilidades recientes en Exchange
A principios de marzo, mientras que las vulnerabilidades de Exchange estaban en el día cero, al menos seis grupos APT estaban explotando esas vulnerabilidades en ataques dirigidos. Un tiempo después de que Microsoft lanzara los parches, ESET descubrió que cuatro grupos más se unían al ataque con el telemetro de ESET grabando un incremento masivo en sitios web detectados en los servidores de mail. Claramente, la Carrera se había instalado para forzar la entrada y establecer la persistencia en los servidores de mail sin parchear antes de que las organizaciones pudieran utilizar la puerta para aplicar los parches.
La Autoridad Bancaria de Europa y el Parlamento de Noruega declararon públicamente que fueron afectados en los ataques mientras que ESET vio más de 5 mil servidores de mail alrededor del mundo afectados incluidos:
- Entidades gubernamentales en el Medio Este, Sudamérica, África, Asia y Europa
- Una compañía industrial en Corea del Su
- Una empresa de procuraduría y consultora especializada en desarrollo de software ambas en Rusia
- Una petrolera en Mongolia
- Un equipo de construcción en Taiwán
- Una empresa desarrolladora de software de Japón
- Una empresa de Bienes Raíces en Israel
Las amenazas Zero-Day utilizadas en los ataques son conocidas como pre-autenticación de la Ejecución de Código Remoto (RCE) para explotar vulnerabilidades, uno de los peores tipos de ataque ya que los criminales pueden infiltrarse en cualquier servidor de Exchange dentro del rango, especialmente vía internet, sin necesidad de ninguna credencial.
¿Cómo se balancean las necesidades de seguridad y usabilidad para Exchange?
Mientras que podría parecer más seguro evitar exponer las aplicaciones como Exchange o Sharepoint a Internet, ¿Qué puedes hacer si eso no es posible? En un ataque Zero-Day ya estás un paso por detrás de los atacantes. Incluso con un equipo de TI y parches saliendo rápidamente, aplicar esos parches a tiempo de prevenir un ataque se convierte en una carrera en la que los atacantes vienen ganando con ventaja.
Quizás lo que esta experiencia revela a los CISO es la utilidad de tomar un enfoque de seguridad de “asumir que ya estamos comprometidos”. No es simplemente sobre tener un administrador experto en Exchange y un equipo de seguridad, ya sea dentro de las oficinas o fuera desde un proveedor de servicio de gestión, sino también sobre una actitud que admite que “es solo cuestión de tiempo”.
Entonces hay que poner la inversión que necesitas para equiparte con herramientas de cacería contra amenazas como pueden ser las Soluciones de Detección y Respuesta para Endpoints (EDR), y que tu caballo vuelva a la carrera. Aunque eso requiere de un equipo maduro de seguridad, o un servicio de gestión, que puede llevar esos EDR a su mejor efecto.
El beneficio agregado, sin embargo, es que obtienes la flexibilidad y usabilidad que quieres tener en tus aplicaciones. Sabes que tus aplicaciones y servidores serán probados para ver si tienen debilidades, pero no te preocuparás tanto porque puedes lidiar con ello en el momento, lo que sería suficiente para recuperar el balance entre usabilidad y seguridad.