El Ataque a Microsoft Exchange Server o la importancia de estar protegido

El Ataque de HAFNIUM a Microsoft Exchange Server o la importancia de estar bien protegido

Recientemente hemos podido ver de primera mano la importancia de tener un servicio de mantenimiento técnico, una buena implementación de medidas de seguridad y un software actualizado.

Unas vulnerabilidades en los servidores de Microsoft Exchange explotadas por hackers pusieron en peligro la privacidad y la seguridad de miles de empresas en todo el mundo. Los primeros parches de seguridad (para las versiones más recientes) fueron publicados por Microsoft al mismo tiempo que un grupo de hackers denominado HAFNIUM intercambiaba las formas de explotar estos agujeros de seguridad. Es por eso que la rapidez de implementación de las actualizaciones era crucial para garantizar la privacidad de los datos.

Estamos orgullosos de la celeridad con la que nuestros técnicos implementaron las mejoras en los servidores de nuestros clientes, ya que pudimos aplicar los parches en cuanto se publicaron. Esta agilidad, junto a las medidas extra de seguridad que implementamos en todos nuestros servidores ha mantenido a salvo a todos nuestros clientes de este ataque masivo.

Queremos agradecer la confianza depositada en nosotros por todos ellos y recordar la importancia de mantener actualizados todos los programas y utilizar contraseñas seguras e irlas modificando periódicamente.

Os dejamos aquí la cronología de los hechos:

Diciembre 2020:
- Una pequeña empresa especializada en seguridad (DevCore) indica a Microsoft que en Exchange Server ha descubierto ciertos agujeros de seguridad.
Enero 2021:
- Dos empresas de seguridad detectan actividad anómala en servidores Microsoft Exchange Server.
Finales de febrero de 2021:
- Microsoft notifica a DevCore que están cerca de poder resolver el problema de seguridad y lanzar una actualización de seguridad.
2 Marzo 2021:
- Microsoft revela la existencia de agujeros de seguridad en sus servidores Exchange.
- Microsoft comunica que un grupo de hackers (HAFNIUM) desde China ha realizado ataques a servidores Exchange.
- Microsoft publica los primeros parches de seguridad para los servidores Exchange para las versiones dentro de soporte (las dos últimas actualizaciones acumulativas de Exchange 2016 y Exchange 2019)
3 de Marzo de 2021:
- La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alerta para que las empresas revisen sus servidores Microsoft Exchange.
5 de Marzo de 2021:
- Microsoft indica que parchear los servidores no es suficiente, ya que pueden haber estado comprometidos con anterioridad con rastros de webshell.
- Microsoft publica un script nmap para ayudar a descubrir posibles vaneados de servidor realizadas con anterioridad.
6 de Marzo de 2021:
- The Wall Street Journal publica que mas de 250.000 organizaciones han sido comprometidas.
7 de Marzo de 2021:
- Microsoft actualiza el parche de seguridad con un escáner de vulnerabilidades para detectar si el servidor ha sido comprometido.
- La Casa Blanca insta a los operadores informáticos – ISP’s a que actualicen y parcheen sus servidores Microsoft Exchange y verifiquen si sus sistemas han sido comprometidos.
10 de Marzo de 2021:
- ESET – NOD32 (fabricante de Antivirus) informa de 10 diferentes exploits para acceder a la vulnerabilidad de Exchange Server. También detecta más de 5.000 servidores de Microsoft Exchange comprometidos.
- El FBI y CISA informan de los fallos de seguridad y de cómo mitigarlos.
11 de Marzo de 2021:
- Hackers informáticos están explotando la vulnerabilidad de forma generalizada han tomado la delantera a Microsoft en la explotación de la vulnerabilidad de Exchange.
- Microsoft detecta un nuevo grupo de ataques a sus servidores Exchange.
15 de Marzo de 2021:
- El número de ataques a servidores Exchange pasa de 700 a 7.200.
- Microsoft publica una nueva herramienta para versiones fuera de soporte y con un interfaz más amigable para parchear los servidores.
18 de Marzo de 2021:
- La última versión de Microsoft Defender Antivirus automáticamente mitiga y soluciona la vulnerabilidad de los servidores Exchange.
19 de Marzo de 2021:
- La compañía fabricante de PCs ACER ha sido atacada a través de esta vulnerabilidad de Exchange server y sus correos han sido comprometidos.

Cookie	Duración	Descripción
__cf_bm	1 hour	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__cfruid	session	Cloudflare sets this cookie to identify trusted web traffic.
apbct_headless	session	Cleantalk set this cookie to detect spam and improve the website's security.
apbct_prev_referer	session	Functional cookie placed by CleanTalk Spam Protect to store referring IDs and prevent unauthorized spam from being sent from the website.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
ct_pointer_data	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_timezone	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
JSESSIONID	session	New Relic uses this cookie to store a session identifier so that New Relic can monitor session counts for an application.
TS01*	session	Wix sets this cookie for security and anti-fraud purposes.
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_cfuvid	session	Description is currently not available.
apbct_cookies_test	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
apbct_page_hits	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
apbct_site_landing_ts	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
apbct_site_referer	3 days	No description available.
apbct_timestamp	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
apbct_urls	3 days	No description available.
apbct_visible_fields	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_checked_emails	session	No description
ct_checkjs	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_fkp_timestamp	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_has_scrolled	session	No description
ct_ps_timestamp	session	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
ct_screen_info	session	No description
ct_sfw_pass_key	1 month	CleanTalk–Used to prevent spam on our comments and forms and acts as a complete anti-spam solution and firewall for this site.
NSC_wt_mc_bqbdif-12218	session	Description is currently not available.
varnish	session	Description is currently not available.

Cookie	Duración	Descripción
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
vuid	1 year 1 month 4 days	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos on the website.

El Ataque de HAFNIUM a Microsoft Exchange Server o la importancia de estar bien protegido

El Ataque de HAFNIUM a Microsoft Exchange Server o la importancia de estar bien protegido

Share This Story, Choose Your Platform!

Artículos relacionados

Actualizaciones de seguridad de Microsoft de junio de 2024

Múltiples vulnerabilidades en productos Fortinet

Las 5 principales preocupaciones sobre ciberseguridad de las pymes españolas

¿Cómo monitorizar un EDR?

‘El pequeño Nicolás’, detenido por usar un carné de conducir falso proporcionado por el hacker ‘Alcasec’ tras su ataque a la DGT