Reacción al ataque Zero-Day a Microsoft Exchange

El 6 de marzo, Microsoft informó de vu­l­ne­ra­bi­li­da­des en el software de Microsoft Exchange. IONOS ya tenía co­no­ci­mie­n­to de dichas vu­l­ne­ra­bi­li­da­des desde el 3 de marzo y aplicó in­me­dia­ta­me­n­te las ac­tua­li­za­cio­nes pro­po­r­cio­na­das por Microsoft a todos los sistemas Exchange que operaba. En co­n­se­cue­n­cia, los sistemas de IONOS no se vieron afectados por los numerosos ataques.

En­tre­vi­s­ta­mos a John Barnes, ingeniero principal de Exchange para intentar dar respuesta a las cue­s­tio­nes de mayor peso.

De­s­cu­bri­mos las vu­l­ne­ra­bi­li­da­des el 3 de marzo por la mañana muy temprano e in­me­dia­ta­me­n­te co­me­n­za­mos a evaluar qué se­r­vi­do­res debían pa­r­chear­se y dividimos el trabajo entre el equipo para agilizar el proceso.

In­me­dia­ta­me­n­te fuimos co­n­s­cie­n­tes de que esta ac­tua­li­za­ción era muy im­po­r­ta­n­te, ya que es raro que Microsoft publique parches fuera de su ciclo mensual habitual. En cuanto conocimos los detalles de las vu­l­ne­ra­bi­li­da­des y co­m­pre­n­di­mos las ra­mi­fi­ca­cio­nes técnicas, nos dimos cuenta de que era necesario aplicar este parche lo antes posible.

Co­n­s­trui­mos nuestras pla­ta­fo­r­mas con una cantidad si­g­ni­fi­ca­ti­va de re­du­n­da­n­cia, por lo que en ci­r­cu­n­s­ta­n­cias como esta somos capaces de parchear nuestras pla­ta­fo­r­mas durante las horas de trabajo sin causar una pérdida del servicio a nuestros clientes. En la medida de lo posible, esto también nos permite au­to­ma­ti­zar el proceso de apli­ca­ción de parches, de modo que una pro­po­r­ción si­g­ni­fi­ca­ti­va de nuestros se­r­vi­do­res ya tenía instalado el parche al comienzo del día.

Empezamos a parchear el resto de partes de nuestra pla­ta­fo­r­ma por etapas tra­s­la­da­n­do la carga de trabajo entre se­r­vi­do­res para evitar la in­te­rru­p­ción del servicio, lo que nos llevó la mayor parte del día del miércoles. Dimos prioridad a las partes de la pla­ta­fo­r­ma que co­n­si­de­rá­ba­mos más vu­l­ne­ra­bles. También estuvimos siempre atentos a cualquier actividad so­s­pe­cho­sa en nuestras pla­ta­fo­r­mas.

Mientras se llevaba a cabo el trabajo de apli­ca­ción de parches, también tuvimos una llamada con Microsoft en relación con la ac­tua­li­za­ción y nos coor­di­na­mos con el equipo de seguridad de IONOS para ga­ra­n­ti­zar que la in­fo­r­ma­ción llegara a toda la empresa. La llamada de Microsoft fue muy es­cla­re­ce­do­ra por el énfasis que ponían en la urgencia del parcheado y en no tratar de mitigar el exploit de otras maneras.

Una vez co­m­ple­ta­do el proceso de apli­ca­ción de parches, nos centramos en el escaneo de In­di­ca­do­res de Co­m­pro­mi­so. Este fue un proceso largo debido al tamaño de nuestras pla­ta­fo­r­mas y a la im­po­r­ta­n­cia que le damos a estas vu­l­ne­ra­bi­li­da­des, por lo que le dedicamos varios días.

Parchear la vu­l­ne­ra­bi­li­dad lo antes posible debería ser la prioridad número uno, lo que puede ser difícil en ocasiones con sistemas básicos en un negocio, como el correo ele­c­tró­ni­co. En casos como estos, en los que la vu­l­ne­ra­bi­li­dad puede ser tan pe­r­ju­di­cial, puede co­n­si­de­rar­se in­te­rru­m­pir el servicio para aplicar el parche más rá­pi­da­me­n­te.

Como pro­vee­do­res de alo­ja­mie­n­to, estamos pre­pa­ra­dos para actuar con rapidez y decisión ante estos “in­ci­de­n­tes”. Como es algo que hacemos todos los días, tenemos los contactos y la in­fo­r­ma­ción para en­te­rar­nos de estas cosas lo antes posible, a menudo antes de que se hagan públicas.

Nuestros procesos están altamente au­to­ma­ti­za­dos y ge­s­tio­na­dos, por lo que nos ase­gu­ra­mos de poder reac­cio­nar rá­pi­da­me­n­te. Además, operamos pla­ta­fo­r­mas a escala global, con geo­rre­du­n­da­n­cia, lo que significa que las ac­tua­li­za­cio­nes se pueden llevar a cabo sin la in­te­rru­p­ción del servicio. Como alo­ja­mie­n­to, llevamos ge­s­tio­na­n­do pla­ta­fo­r­mas globales de Hosted Exchange desde 2010 y tenemos una ex­pe­rie­n­cia in­i­gua­la­ble fuera de Microsoft. En­te­n­de­mos que estas cosas pasen. Lo más im­po­r­ta­n­te es saber cómo reac­cio­nar.

Creo que las empresas que corren más riesgo son aquellas más pequeñas que ejecutan se­r­vi­do­res Exchange en sus propias in­s­ta­la­cio­nes y que no siempre disponen de los recursos ne­ce­sa­rios para ma­n­te­ne­r­se al día con el ca­le­n­da­rio de ac­tua­li­za­cio­nes tri­me­s­tra­les de Microsoft.

Cuando Microsoft publicó ini­cia­l­me­n­te las ac­tua­li­za­cio­nes, estas solo estaban di­s­po­ni­bles para las dos últimas ac­tua­li­za­cio­nes de cada versión de Exchange, lo que si­g­ni­fi­ca­ba que las empresas que no es­tu­vie­ran al día tendrían que instalar las últimas ac­tua­li­za­cio­nes antes de poder parchear la vu­l­ne­ra­bi­li­dad. Esto puede ser un proceso mucho más co­m­pli­ca­do que la simple in­s­ta­la­ción de una ac­tua­li­za­ción de seguridad para Exchange y llevaría mucho más tiempo, lo que aumenta la ex­po­si­ción de la empresa a la vu­l­ne­ra­bi­li­dad.

Para esta vu­l­ne­ra­bi­li­dad es­pe­cí­fi­ca, Microsoft re­co­mie­n­da este Health Checker. Con él puedes ver el nivel de parcheado de tus se­r­vi­do­res y de­te­r­mi­nar si necesitas ac­tua­li­zar­los. A veces puede no ser evidente a través de Microsoft Update que tienes una ac­tua­li­za­ción pendiente si tus se­r­vi­do­res Exchange no están pa­r­chea­dos con la última ac­tua­li­za­ción acu­mu­la­ti­va. El Test Pro­x­y­Lo­gon script es un script de Microsoft que te ayuda a ide­n­ti­fi­car cualquier Indicador de Co­m­pro­mi­so.

El escáner de vu­l­ne­ra­bi­li­dad Nessus también me parece pa­r­ti­cu­la­r­me­n­te efectivo para ide­n­ti­fi­car vu­l­ne­ra­bi­li­da­des y se­r­vi­do­res sin parches.

Este exploit era pa­r­ti­cu­la­r­me­n­te nocivo, ya que era de “ejecución remota de código no au­te­n­ti­ca­do como sistema”. Este caso es pa­r­ti­cu­la­r­me­n­te peligroso, porque los se­r­vi­do­res de Microsoft Exchange suelen tener pri­vi­le­gios altos en el Di­re­c­to­rio Activo, que es el principal sistema de au­te­n­ti­ca­ción y au­to­ri­za­ción para los sistemas Windows dentro de una empresa.

Esto significa que los riesgos para la empresa son muy altos, con una nada de­s­de­ña­ble po­si­bi­li­dad de robo o de­s­tru­c­ción de datos em­pre­sa­ria­les, pérdida de capacidad de fu­n­cio­na­mie­n­to, etc. Es difícil su­b­e­s­ti­mar el impacto que un ataque de este tipo tendría para la empresa.

En mi opinión, siempre es difícil estar seguros de que no existan riesgos con este tipo de vu­l­ne­ra­bi­li­da­des. Hemos hecho todos los escaneos ba­sá­n­do­nos en la in­fo­r­ma­ción pro­po­r­cio­na­da ac­tua­l­me­n­te por Microsoft y no hemos detectado nada fuera de lo normal. Sin embargo, un elemento malicioso muy so­fi­s­ti­ca­do puede conseguir ocultar muy bien el riesgo.

Ahora, varias fuentes han sacado a la luz que estas vu­l­ne­ra­bi­li­da­des se ide­n­ti­fi­ca­ron por primera vez a pri­n­ci­pios de enero y fueron de­bi­da­me­n­te re­po­r­ta­das a Microsoft. A finales de febrero, se ide­n­ti­fi­ca­ron ataques más ge­ne­ra­li­za­dos justo antes de que Microsoft publicara los parches. Esto significa que hubo un margen de tiempo si­g­ni­fi­ca­ti­vo para que se produjera el exploit inicial.

Creo que esto puede hacer que las empresas se re­pla­n­teen si desean seguir alojando sus sistemas de correo ele­c­tró­ni­co en sus in­s­ta­la­cio­nes y acarrear el coste que eso conlleva o si prefieren alojarlos con un proveedor de confianza en la nube.

Más in­fo­r­ma­ción:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/

https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vu­l­ne­ra­bi­li­ties-mi­ti­ga­tio­ns-march-2021/