Microsoft continúa trabajando en solucionar las vulnerabilidades que han afectado recientemente al sistema operativo para servidores Microsoft Exchange Server, y la compañía ha asegurado que el 92 por ciento de las direcciones IP vulnerables ya se han actualizado, aunque ha alertado sobre los diferentes tipos de amenazas.
Después de descubrir cuatro vulnerabilidades en Microsoft Exchange, que afectaban a las versiones de 2016 y 2019 en especial, la compañía ha lanzado varios parches de actualización que mitigan el problema.
Entre sus últimos esfuerzos, la compañía estadounidense lanzó la semana pasada una nueva herramienta que soluciona los problemas con un solo clic, dirigida a empresas sin departamento de TI, así como la incorporación de estos mecanismos en el antivirus de serie de Windows, Microsoft Defender.
Estas soluciones se extienden cada vez más y actualmente el 92 por ciento de las direcciones IP consideradas vulnerables ya han solucionado el problema, como ha informado Microsoft en un comunicado.
DIFERENTES TIPOS DE ATAQUES
Los fallos de seguridad de Exchange, aprovechados por cibercriminales como los ‘hackers’ chinos de Hafnium, se han utilizado para realizar diferentes tipos de ataques, entre los que Microsoft ha destacado mineros de criptomonedas y ‘ransomware’.
Microsoft ha asegurado que «el número total de ‘ransomware’ se ha mantenido extremadamente pequeño hasta este punto», aunque ha compartido detalles de su funcionamiento para instar a las empresas afectadas a instalar las actualizaciones de seguridad «lo antes posible».
Entre las primeras amenazas de este tipo que se han aprovechado de la vulnerabilidad de Exchange se encuentra el ‘ransomware’ DoejoCrypt, que ha encriptado a «un número limitado» de usuarios, y realizando una copia de seguridad del gestor de cuentas de seguridad de Microsoft, lo que le permite acceder a las contraseñas.
Otro de los ataques más frecuentes derivados del fallo de seguridad ha sido la infección del minero de criptomonedas Lemon Duck. Este ‘malware’ hace que el dispositivo pase a formar parte de una red de ‘bots’ dedicados a minar criptomonedas.
Microsoft ha explicado que esta amenaza elimina primero mecanismos de seguridad en los servidores en los que se instala, y sus autores «comprometieron numerosos servidores de Exchange». Estos virus funcionaron «más como un cargador de ‘malware’ que como un simple minero», enviando el ‘malware’ a otros usuarios cuando se hacían con el acceso a las bandejas de correo.
Microsoft ha detectado también que otras amenazas ya existentes, como el ransomware Pydomer, se han aprovechado de los servidores vulnerables. Se han descubierto «1.500 sistemas (afectados por Pydomer), de los cuales no todos pasaron a la etapa de ‘ransomware'».
La compañía estadounidense ha destacado que entre los ciberataques más frecuentes contra Exchange se encuentran también el robo de credenciales contra organizaciones, y ha manifestado que «estos ataques podrían seguir afectando a las organizaciones que no los remedian por completo después de verse comprometidas, incluso después de que se hayan aplicado los parches».