Fallo de MS Exchange Server: Desvelado el despliegue de un keylogger
En una reciente revelación, un actor malicioso no identificado ha estado explotando vulnerabilidades en Microsoft Exchange Server para infiltrarse en los sistemas con un keylogger malwaredirigido a varias entidades de África y Oriente Medio. La empresa de ciberseguridad Positive Technologies ha revelado que esta campaña ha afectado a más de 30 organizaciones, desde organismos gubernamentales hasta instituciones financieras y centros educativos. La primera vez que se registró el compromiso del MS Exchange Server se remonta a 2021.
El fallo de MS Exchange Server al descubierto
Positive Technologies arrojó luz sobre el modus operandi de este keylogger, indicando que recopilaba de forma encubierta credenciales de cuentas, almacenándolas en un archivo accesible a través de una ruta específica de Internet. Según los medios de comunicaciónentre los países afectados figuran Rusia, Emiratos Árabes Unidos, Kuwait, Omán, Níger, Nigeria, Etiopía, Mauricio, Jordania y Líbano.
Las brechas de seguridad de la red
Esta infiltración aprovechó vulnerabilidades conocidas como fallos ProxyShell, específicamente rastreadas como CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. Estos fallos, abordados originalmente por Microsoft en mayo de 2021, permitían la evasión de autenticación, la elevación de privilegios y la ejecución remota de código, allanando el camino para la instalación del keylogger en la página principal de Exchange Server.
La cadena de explotación de vulnerabilidades
La secuencia de acontecimientos del fallo de MS Exchange Server comienza con la explotación de las vulnerabilidades de ProxyShell, facilitada por los actores de la amenaza. Posteriormente, el despliegue del keylogger se añade subrepticiamente a la página principal del servidor, concretamente al archivo "logon.aspx". Esta adición va acompañada de una inyección de código diseñada para capturar las credenciales, que luego se almacenan en un archivo accesible a través de Internet cuando el usuario hace clic en el botón de inicio de sesión.
La distribución de malware representa una amenaza para la ciberseguridad en todo el mundo. A pesar de la exhaustiva investigación, Positive Technologies se abstiene de atribuir estos ataques a un actor o grupo de amenaza específico debido a la insuficiencia de información.
Medidas de protección
Comprensión de varios vectores de ciberataque es esencial para las estrategias integrales de defensa de la ciberseguridad. Se recomienda encarecidamente a las organizaciones que actualicen sus instancias de Microsoft Exchange Server a la última versión para mitigar los riesgos para la privacidad de los datos. La protección de puntos finales es crucial para salvaguardar los dispositivos frente a las ciberamenazas en evolución.
Además, la vigilancia supervisión del sistema de la página principal de Exchange Server para detectar cualquier signo de compromiso, en particular la presencia del keylogger en el archivo "logon.aspx". En caso de que se detecte un compromiso, se insta a las organizaciones a identificar y eliminar el archivo que almacena los datos de la cuenta robada.
Estrategias de respuesta a incidentes
Garantizar una seguridad del servidor de correo electrónico es primordial en el panorama digital actual. Como parte de las medidas de seguridad proactivas, es imperativo que las organizaciones no solo actualicen sus instancias de Exchange Server con prontitud, sino que también realicen evaluaciones exhaustivas para garantizar la integridad de sus sistemas.
Incorporación de inteligencia sobre amenazas en las operaciones de ciberseguridad mejora las estrategias proactivas de detección y mitigación de amenazas. Permaneciendo vigilantes y aplicando protocolos de seguridad robustos, las organizaciones pueden fortalecer sus defensas contra este tipo de intrusiones maliciosas.
Conclusión
El sitio vulnerabilidades explotables en Microsoft Exchange Server para desplegar programas maliciosos de registro de pulsaciones de teclas ponen de relieve la constante evolución del panorama de las amenazas a la ciberseguridad. amenazas a la ciberseguridad a las que se enfrentan las organizaciones de todo el mundo. Manteniéndose informado, adoptando actualizaciones actualizaciones de seguridad como gestión de parchesy colaborando con expertos en ciberseguridad, las entidades pueden salvaguardar sus activos digitales y mantener la integridad de sus operaciones frente a las amenazas emergentes.
Las fuentes de este artículo incluyen artículos en The Hacker News y SC Media.