El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha emitido una alerta de emergencia pidiendo a miles de organizaciones en riesgo en todo el país que actualicen de inmediato sus servidores Microsoft Exchange en las instalaciones como una cuestión de urgencia, luego de las divulgaciones y la explotación de ProxyLogon.
A la luz del creciente número de grupos de amenazas persistentes avanzadas (APT) y otros actores malintencionados que se aprovechan de las vulnerabilidades, incluido un número limitado de operadores de ransomware ciberdelincuentes, el NCSC ha publicado una nueva guía para ayudar a las organizaciones vulnerables a reducir el riesgo de ransomware y otras infecciones de malware.
«Estamos trabajando en estrecha colaboración con la industria y los socios internacionales para comprender la escala y el impacto de la exposición del Reino Unido, pero es vital que todas las organizaciones tomen medidas inmediatas para proteger sus redes», dijo el director de operaciones de NCSC Paul Chichester.
“Mientras este trabajo está en curso, la acción más importante es instalar las últimas actualizaciones de Microsoft. Las organizaciones también deben estar atentas a la amenaza del ransomware y familiarizarse con nuestra guía. Cualquier incidente que afecte a las organizaciones del Reino Unido debe informarse al NCSC ”, dijo.
Es importante tener en cuenta que la instalación de los parches de Microsoft solo detendrá los compromisos futuros, no los que ya se hayan producido, por lo que también es vital escanear los sistemas y las redes en busca de signos de intrusión, específicamente los webshells implementados a través de la cadena de exploits. Microsoft Safety Scanner puede ayudar a detectarlos.
El NCSC ha evaluado el número de servidores vulnerables en el Reino Unido entre 7.000 y 8.000, y aproximadamente la mitad de ellos ya están parcheados. Los análisis realizados por Palo Alto Networks en los últimos días sugieren que las tasas de parches son realmente altas: la empresa afirmó que la cantidad de servidores vulnerables que ejecutan versiones antiguas de Exchange que no pueden aplicar directamente los parches se redujo en un 30% entre el 8 y el 11 de marzo.
El NCSC ha estado trabajando extensamente con organizaciones gubernamentales y del sector público y privado para difundir el mensaje y se entiende que ya se ha puesto en contacto de manera proactiva con muchas de las organizaciones vulnerables.
Pero con la explotación de ProxyLogon que se extiende más allá de los actores respaldados por el estado, ahora está quedando claro que las organizaciones que inicialmente no se habían considerado en riesgo están en peligro.
Más allá del NCSC, se encuentra disponible la orientación de Microsoft sobre la aplicación de parches, así como las mitigaciones, que no deben confiarse en absoluto a largo plazo.
Para las organizaciones que no pueden instalar un parche ni aplicar las mitigaciones recomendadas, el NCSC recomienda aislar inmediatamente su servidor Exchange de Internet bloqueando las conexiones no confiables al puerto 443 y, si existe una solución segura de acceso remoto, como una VPN, configurar Exchange. para estar disponible únicamente a través de dicha solución. Nuevamente, se trata de soluciones temporales en las que no se debe confiar.
Joe Hancock, jefe de ciber MDR en el bufete de abogados Mishcon de Reya, comentó: “A las pocas horas de que se liberara la vulnerabilidad, quedó claro que se estaba explotando activamente a gran escala. Hemos visto evidencia de ataques repetidos persistentes con los atacantes haciendo un seguimiento para ver si había tenido éxito.
“Es probable que, en términos de número de víctimas, esto sea la punta del iceberg y es probable que los peores impactos de este ataque aún se produzcan. Gran parte del esfuerzo de limpieza no se trata solo de parchear sistemas o eliminar archivos de un atacante, ya que una vez explotado, también es necesario investigar qué hizo un atacante y qué información tiene ahora. Incluso sin ser un objetivo activo, habrá costos para que las organizaciones administren su vulnerabilidad potencial ”, dijo Hancock.
“Como era de esperar, ya se ha visto que los grupos de ransomware están explotando estas fallas para obtener ganancias financieras. Esta actividad continua de alto perfil probablemente aumentará la presión sobre los gobiernos occidentales para que respondan, dados los vínculos iniciales ampliamente informados con China «.