Recomendaciones de ciberseguridad ante las nuevas vulnerabilidades y ataques de los servidores Exchange

El pasado día 2 de marzo Microsoft publicó en un comunicado extraordinario una serie de actualizaciones ante 4 nuevas vulnerabilidades cero-day críticas que afectan a su tecnología Exchange y que permitirían a un atacante tomar control de forma remota del servidor afectado, realizar ejecución de código arbitrario, acceder a las cuentas de correo del servidor afectadas e incluso expandirse en la red. Según algunas fuentes, las vulnerabilidades habrían sido explotadas desde el pasado día 6 de enero por parte de múltiples grupos supuestamente de origen chino.

En un primer momento se habían detectado ataques exclusivamente en Estados Unidos, pero desde la Agencia de Ciberseguridad de Catalunya se han confirmado evidencias de ataques e incidentes relacionados en distintos sectores del territorio catalán. Se prevé que el volumen de nuevos ataques incremente de forma crítica en los próximos días. Sin embargo, debe considerarse probable que los servidores vulnerables ya hayan sido comprometidos. Hasta ahora, el acceso al correo por parte de los atacantes está motivado en el ciberespionaje, principalmente enfocando en el robo de información confidencial de las redes comprometidas. Por otra parte, la sensibilidad de los sistemas a los que afecta a este grupo de vulnerabilidades puede provocar que nuevos grupos delictivos aprovechen pronto la explotación de las mismas para desplegar “ransomware”.

El fabricante ha publicado parches de seguridad para poder corregir las vulnerabilidades y herramientas para poder detectar su afectación. La Agencia de Ciberseguridad de Catalunya recomienda la aplicación de estos parches de forma inmediata. Se considera imprescindible la realización de una copia de seguridad previamente al despliegue de los parches, a fin de preservar las evidencias que habiliten potenciales investigaciones posteriores. Una vez aplicados los parches de seguridad se recomienda comprobar si los servidores han sido afectados. Estas revisiones pueden realizarse mediante una serie de herramientas y recomendaciones incluidas en el parte de ciberseguridad de la Agencia relacionado.

En caso de sufrir un incidente, se ruega contactar mediante llamada de teléfono al 900 112 444 o bien vía correo electrónico a la dirección de correo cert@ciberseguridad.cat.

La Agencia de Ciberseguridad de Cataluña, gracias al CATALONIA-CERT, dispone de una elevada capacidad de respuesta que le permite actuar coordinadamente, para minimizar el impacto de los incidentes de ciberseguridad que se producen en todo el territorio.

En el último año la Agencia de Ciberseguridad de Cataluña ha definido un servicio específico de ciberseguridad para la administración local, que tiene por objetivo ofrecer nuevas capacidades de protección y respuesta frente a amenazas e incidentes de ciberseguridad y permitir así evitar ataques como los que son objeto del presente comunicado.

Se prevé que este servicio, esté operativo a principios del segundo trimestre de 2021, sin embargo se ha creado el siguiente buzón de correo seguridad.aall@ciberseguridad.cat para resolver ninguna duda o cuestión al respecto.

X