En América Latina, el número de usuarios atacados por exploits dirigidos a vulnerabilidades en los servidores Microsoft Exchange en agosto fue del 153%, con Venezuela (450%), Chile (378%), México (258%), Ecuador (242%) y Argentina (186%) liderando la lista de países más afectados. Le siguieron Perú (176%), Paraguay (165%), Brasil (67%) y Colombia (57%).

De acuerdo con los expertos de Kaspersky, este aumento está relacionado con el creciente número de ataques que intentan explotar vulnerabilidades previamente reveladas en el producto y el hecho de que los usuarios no instalan los parches del software vulnerable tan pronto estos están disponibles, lo que amplía el potencial de ataque.

Un año plagado de ataques

Las vulnerabilidades dentro de Microsoft Exchange Server causaron mucho caos este año. El 2 de marzo de 2021, el público se enteró del exploit “in-the-wild” de las vulnerabilidades de día cero dentro de Microsoft Exchange Server, que luego fueron utilizadas en una ola de ataques a organizaciones de todo el mundo. Meses después, Microsoft también emitió parches para una serie de las denominadas vulnerabilidades de ProxyShell: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207.

En conjunto, estas vulnerabilidades representan una amenaza crítica, ya que permiten a un atacante eludir la autenticación y ejecutar código como usuario privilegiado. Aunque los parches para estas vulnerabilidades fueron emitidos hace algún tiempo, los ciberdelincuentes no dudaron en explotarlas, resultando en 74,274 intentos de ataque registrados a nivel mundial por las tecnologías de Kaspersky a estas vulnerabilidades de MS Exchange en los últimos seis meses.

Además, como advirtió la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) en Estados Unidos el pasado 21 de agosto, las vulnerabilidades ProxyShell están siendo explotadas activamente por los ciberdelincuentes en una reciente ola de ataques. En su aviso, publicado el 26 de agosto, Microsoft explicó que un servidor de Exchange es vulnerable si no está ejecutando una Actualización acumulativa (CU, por sus siglas en inglés) con, por lo menos, la Actualización de seguridad de mayo (SU, por sus siglas en inglés).

Según la telemetría de Kaspersky, en la última semana de agosto, las tecnologías de la empresa bloquearon más de 1,700 ataques diarios a usuarios únicos con exploits al ProxyShell, registrando un aumento del 170% de usuarios atacados a nivel global en comparación con julio de 2021. En América Latina, el aumento promedio de la región registrado fue del 153%. Esto refleja el problema a gran escala que estas vulnerabilidades representan si no son parchadas.

¿Cómo protegerse?

Para protegerse contra este tipo de ataques, Kaspersky recomienda las siguientes acciones:

• Actualizar Exchange Server lo antes posible.
• Concentrar la estrategia de defensa en la detección de movimientos laterales y exfiltración de datos a la Internet. Prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes. Realizar copias de seguridad de los datos con regularidad y asegurarse de poder acceder a estas rápidamente en caso de emergencia.
• Utilizar soluciones que ayuden a identificar y detener un ataque en sus etapas iniciales, antes de que los atacantes logren sus objetivos.
• Utilizar una solución de seguridad para endpoints que cuente con tecnologías de prevención de ataques, detección de comportamiento y un motor de corrección que puede revertir acciones maliciosas. KESB también cuenta con mecanismos de autodefensa que pueden evitar que este sea eliminado por los ciberdelincuentes.

“Este crecimiento activo de ataques demuestra una vez más por qué es esencial instalar parches a las vulnerabilidades tan pronto estos estén disponibles para evitar que las redes se vean comprometidas. Recomendamos encarecidamente seguir el reciente aviso de Microsoft para mitigar mayores riesgos”, aseveró Evgeny Lopatin, investigador de seguridad en Kaspersky.