Microsoft descubrió a principios de marzo la presencia de vulnerabilidades día cero consideradas ‘críticas’ que permitían a los ‘hackers’ una cadena de ataque iniciada por una «conexión no segura» a los servidores funcionando con Exchange. Al menos 30.000 organizaciones han sido atacadas en Estados Unidos, pero el número podría ser mucho más grande a nivel global.
Los expertos indican que aplicar los parches disponibles «debe ser una prioridad absoluta», llegando incluso a desconectar cualquier servidor vulnerable que pueda estar ejecutando si no se puede parchear inmediatamente. Llegados a este momento, cualquiera que tenga un servidor Exchange «debe tomar medidas de investigación para comprobar si hay señales de compromiso», añaden.
«A la hora de protegerse de un ataque como éste las compañías tienen tres alternativas: desplegar los parches aportados por Microsoft con carácter de urgencia, implementar mecanismos de protección frente a dichas vulnerabilidades (como puede ser el parcheado virtual) o, en casos extremos, desconectar dichos servidores de la red hasta que estos sean seguros«, añade José de la Cruz, director técnico de Trend Micro Iberia.
Microsoft continúa trabajando en solucionar las vulnerabilidades que han afectado recientemente al sistema operativo para servidores Microsoft Exchange Server, y ha asegurado que el 92 por ciento de las direcciones IP vulnerables ya se han actualizado, aunque ha alertado sobre los diferentes tipos de amenazas.
Los fallos de seguridad de Exchange, aprovechados por cibercriminales como los ‘hackers’ chinos de Hafnium, se han utilizado para realizar diferentes tipos de ataques, entre los que Microsoft ha destacado mineros de criptomonedas y ‘ransomware’, que -según la evaluación inicial- se habría dirigido a sectores como el legal, educación superior, defensa, investigación de enfermedades infecciosas, ONG y comités de expertos.
CÓMO EL ‘VIRTUAL PATCHING’ AYUDA A PROTEGER A LAS EMPRESAS
Basta una sola vulnerabilidad para que las amenazas infecten, se propaguen y se muevan lateralmente dentro de la infraestructura ‘online’ de una empresa. Aunque actualizarlas regularmente es una buena práctica, la aplicación de una política de evaluación de vulnerabilidades y gestión de parches sigue siendo un reto permanente.
Las vulnerabilidades descubiertas y comunicadas aumentaron un 40 por ciento de 2019 a 2020. Además, el 33 por ciento de las vulnerabilidades día cero reveladas a través de Zero Day Initiative (ZDI) en 2020 estaban relacionadas con sistemas de control industrial.
Una buena solución de parcheado virtual para hacer frente a este tipo de ataques debe ser multicapa. «Debe incluir funciones que inspeccionen y bloqueen la actividad maliciosa del tráfico crítico para la empresa; detectar y evitar intrusiones; frustrar los ataques a las aplicaciones web; y desplegarse de forma adaptable en entornos físicos, virtuales o en la nube», explican desde Trend Micro.
Este tipo de parcheado mantiene un seguimiento de las sesiones y rechaza la creación de conexiones no autorizadas, evitando que los atacantes accedan a los recursos conectados a ella; protege contra amenazas que pueden permitir ataques que podrían comprometer los componentes vulnerables de la red y componentes de Internet; y refuerza aún más la seguridad del ‘switch’ (dispositivo que permite que la conexión de ordenadores y periféricos a la red).
Asimismo, bloquea las amenazas para que no exploten las vulnerabilidades que pueden conducir a cambios de configuración no autorizados de los routers; protege los dispositivos de IoT -conectados al ‘host’ o a la red-; evita que el ‘malware’ y el tráfico malicioso llegue a los clientes de correo electrónico; y protege las vulnerabilidades explotables en entornos basados en ‘cloud’, entre otras funciones.
En concreto, a través del programa Zero Day Initiative (ZDI), los clientes de Trend Micro disponen de una media de 96 días de protección preventiva contra las vulnerabilidades antes de que los parches de los proveedores estén disponibles. Para ello, la compañía cuenta con diferentes soluciones de ‘virtual patching’ que se adaptan a las necesidades de cada compañía para hacer frente a este tipo de ciberataques.