Reacción al ataque Zero-Day a Microsoft Exchange
El 6 de marzo, Microsoft informó de vulnerabilidades en el software de Microsoft Exchange. IONOS ya tenía conocimiento de dichas vulnerabilidades desde el 3 de marzo y aplicó inmediatamente las actualizaciones proporcionadas por Microsoft a todos los sistemas Exchange que operaba. En consecuencia, los sistemas de IONOS no se vieron afectados por los numerosos ataques.
Entrevistamos a John Barnes, ingeniero principal de Exchange para intentar dar respuesta a las cuestiones de mayor peso.
Pregunta: ¿Cuándo descubristeis las vulnerabilidades y cómo procedisteis?
Descubrimos las vulnerabilidades el 3 de marzo por la mañana muy temprano e inmediatamente comenzamos a evaluar qué servidores debían parchearse y dividimos el trabajo entre el equipo para agilizar el proceso.
Inmediatamente fuimos conscientes de que esta actualización era muy importante, ya que es raro que Microsoft publique parches fuera de su ciclo mensual habitual. En cuanto conocimos los detalles de las vulnerabilidades y comprendimos las ramificaciones técnicas, nos dimos cuenta de que era necesario aplicar este parche lo antes posible.
Pregunta: ¿Qué pasos habéis seguido y cuánto tiempo os ha llevado?
Construimos nuestras plataformas con una cantidad significativa de redundancia, por lo que en circunstancias como esta somos capaces de parchear nuestras plataformas durante las horas de trabajo sin causar una pérdida del servicio a nuestros clientes. En la medida de lo posible, esto también nos permite automatizar el proceso de aplicación de parches, de modo que una proporción significativa de nuestros servidores ya tenía instalado el parche al comienzo del día.
Empezamos a parchear el resto de partes de nuestra plataforma por etapas trasladando la carga de trabajo entre servidores para evitar la interrupción del servicio, lo que nos llevó la mayor parte del día del miércoles. Dimos prioridad a las partes de la plataforma que considerábamos más vulnerables. También estuvimos siempre atentos a cualquier actividad sospechosa en nuestras plataformas.
Mientras se llevaba a cabo el trabajo de aplicación de parches, también tuvimos una llamada con Microsoft en relación con la actualización y nos coordinamos con el equipo de seguridad de IONOS para garantizar que la información llegara a toda la empresa. La llamada de Microsoft fue muy esclarecedora por el énfasis que ponían en la urgencia del parcheado y en no tratar de mitigar el exploit de otras maneras.
Una vez completado el proceso de aplicación de parches, nos centramos en el escaneo de Indicadores de Compromiso. Este fue un proceso largo debido al tamaño de nuestras plataformas y a la importancia que le damos a estas vulnerabilidades, por lo que le dedicamos varios días.
Pregunta: ¿Cuál es la máxima prioridad en estos casos?
Parchear la vulnerabilidad lo antes posible debería ser la prioridad número uno, lo que puede ser difícil en ocasiones con sistemas básicos en un negocio, como el correo electrónico. En casos como estos, en los que la vulnerabilidad puede ser tan perjudicial, puede considerarse interrumpir el servicio para aplicar el parche más rápidamente.
Pregunta: ¿Cómo estáis al día de estas amenazas?
Como proveedores de alojamiento, estamos preparados para actuar con rapidez y decisión ante estos “incidentes”. Como es algo que hacemos todos los días, tenemos los contactos y la información para enterarnos de estas cosas lo antes posible, a menudo antes de que se hagan públicas.
Nuestros procesos están altamente automatizados y gestionados, por lo que nos aseguramos de poder reaccionar rápidamente. Además, operamos plataformas a escala global, con georredundancia, lo que significa que las actualizaciones se pueden llevar a cabo sin la interrupción del servicio. Como alojamiento, llevamos gestionando plataformas globales de Hosted Exchange desde 2010 y tenemos una experiencia inigualable fuera de Microsoft. Entendemos que estas cosas pasen. Lo más importante es saber cómo reaccionar.
Pregunta: ¿A quién puede afectar? ¿Qué tipo de usuarios corren más riesgo?
Creo que las empresas que corren más riesgo son aquellas más pequeñas que ejecutan servidores Exchange en sus propias instalaciones y que no siempre disponen de los recursos necesarios para mantenerse al día con el calendario de actualizaciones trimestrales de Microsoft.
Cuando Microsoft publicó inicialmente las actualizaciones, estas solo estaban disponibles para las dos últimas actualizaciones de cada versión de Exchange, lo que significaba que las empresas que no estuvieran al día tendrían que instalar las últimas actualizaciones antes de poder parchear la vulnerabilidad. Esto puede ser un proceso mucho más complicado que la simple instalación de una actualización de seguridad para Exchange y llevaría mucho más tiempo, lo que aumenta la exposición de la empresa a la vulnerabilidad.
Pregunta: ¿Tienes alguna recomendación de herramienta para detectar servidores vulnerables?
Para esta vulnerabilidad específica, Microsoft recomienda este Health Checker. Con él puedes ver el nivel de parcheado de tus servidores y determinar si necesitas actualizarlos. A veces puede no ser evidente a través de Microsoft Update que tienes una actualización pendiente si tus servidores Exchange no están parcheados con la última actualización acumulativa. El Test ProxyLogon script es un script de Microsoft que te ayuda a identificar cualquier Indicador de Compromiso.
El escáner de vulnerabilidad Nessus también me parece particularmente efectivo para identificar vulnerabilidades y servidores sin parches.
Pregunta: En caso de incidente, ¿cuáles son las posibles consecuencias para las organizaciones afectadas?
Este exploit era particularmente nocivo, ya que era de “ejecución remota de código no autenticado como sistema”. Este caso es particularmente peligroso, porque los servidores de Microsoft Exchange suelen tener privilegios altos en el Directorio Activo, que es el principal sistema de autenticación y autorización para los sistemas Windows dentro de una empresa.
Esto significa que los riesgos para la empresa son muy altos, con una nada desdeñable posibilidad de robo o destrucción de datos empresariales, pérdida de capacidad de funcionamiento, etc. Es difícil subestimar el impacto que un ataque de este tipo tendría para la empresa.
Pregunta: ¿Existe algún riesgo después de haber tomado todas las medidas?
En mi opinión, siempre es difícil estar seguros de que no existan riesgos con este tipo de vulnerabilidades. Hemos hecho todos los escaneos basándonos en la información proporcionada actualmente por Microsoft y no hemos detectado nada fuera de lo normal. Sin embargo, un elemento malicioso muy sofisticado puede conseguir ocultar muy bien el riesgo.
Ahora, varias fuentes han sacado a la luz que estas vulnerabilidades se identificaron por primera vez a principios de enero y fueron debidamente reportadas a Microsoft. A finales de febrero, se identificaron ataques más generalizados justo antes de que Microsoft publicara los parches. Esto significa que hubo un margen de tiempo significativo para que se produjera el exploit inicial.
Pregunta: ¿Qué se espera de este incidente?
Creo que esto puede hacer que las empresas se replanteen si desean seguir alojando sus sistemas de correo electrónico en sus instalaciones y acarrear el coste que eso conlleva o si prefieren alojarlos con un proveedor de confianza en la nube.
Más información:
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
