[19/01/2023] Comenzamos el año 2023 de aplicación de parches con una de las mayores revisiones de vulnerabilidades de la historia de Microsoft. La actualización del martes de parches del 10 de enero parcheó una vulnerabilidad de día cero activamente explotada y 98 fallas de seguridad. La actualización llega en un momento en el que hay que tomar decisiones tecnológicas y presupuestarias a corto y largo plazo.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Esto es especialmente cierto para las organizaciones que utilizan servidores Microsoft Exchange locales. Comience el 2023 revisando la herramienta de comunicación más básica que tiene en su empresa: su servidor de correo. ¿Está todo lo protegido que podría estar frente a las amenazas que nos esperan en los próximos meses? Los atacantes conocen la respuesta a esa pregunta.
Por qué los atacantes tienen como objetivo el Exchange local
Durante años, Exchange ha sido la plataforma de correo electrónico local de facto para muchas empresas. Luego llegó Azure y la nube, y Microsoft empezó a construir una alternativa en la nube similar a su plataforma de servidor de correo. Las dos plataformas fueron comparables durante años con características similares. También compartían problemas de seguridad y vulnerabilidad.
Menos comparables ahora son los recursos que Microsoft dedica a Exchange local frente a Azure. Recientemente, la empresa ha retirado de su programa de recompensas por fallas las versiones más antiguas, pero aún compatibles, de Exchange local. Como resultado, tanto los atacantes como los investigadores empezaron a fijarse más en Exchange. En los últimos meses, hemos visto cómo los agresores accedían a las redes y lanzaban ataques de ransomware utilizando vulnerabilidades de Exchange sin parchear o que no estaban totalmente parcheadas.
Los atacantes sabían que estas vulnerabilidades eran difíciles de parchear y que Microsoft no había parcheado completamente la vulnerabilidad ProxyShell. Incluso con las herramientas de mitigación de Microsoft, a menudo se seguía siendo vulnerable. La vulnerabilidad de posautenticación CVE-2021-31207 se parcheó en mayo del 2021, pero el ransomware Cuba (DEV-0671) está utilizando credenciales robadas para aprovecharla y plantar una shell web, a menudo la shell web Chopper, que permite a un operador remoto lanzar código malicioso en un Microsoft Exchange Server comprometido mediante la provisión de acceso a nivel de sistema al dispositivo. El gran lanzamiento de parches de vulnerabilidad de enero abordó una serie de vulnerabilidades que podrían permitir al atacante obtener privilegios totales del sistema.
Cómo proteger un Exchange Server local
Disponga de un servicio o firewall que analice previamente los correos electrónicos antes de que lleguen a su Exchange Server. Puede tratarse de un dispositivo que retenga y reenvíe el correo electrónico en caso de que se produzca un evento de mantenimiento o seguridad que provoque un tiempo de inactividad. Asegúrese de que su dispositivo o solución ofrezca procesos de filtrado web que busquen y eviten este tipo de ataques.
Utilice siempre una versión compatible de Exchange que reciba actualizaciones de seguridad. Como Microsoft señaló recientemente, incluso este modelo de servicio puede cambiar en función del calendario y de otros parches previstos. En un principio, la empresa tenía previsto lanzar dos actualizaciones acumulativas (CU) al año, en H1 y H2 de cada año natural, con fechas de lanzamiento previstas en marzo y septiembre. Sin embargo, en noviembre Microsoft anunció que la próxima CU para Exchange Server sería la H1 2023 CU (Exchange Server 2019 CU13) y no habría una H2 2022 CU. Exchange 2013 llega al final de su vida útil el 11 de abril del 2023, para lo que faltan menos de 90 días. Si todavía está en esta versión, planifique una migración a una versión compatible, una versión en línea de Exchange (Microsoft 365) o una plataforma alternativa para recibir correo electrónico en función de sus necesidades.
Realice las actualizaciones y los parches necesarios en los componentes conectados a Exchange local. La aplicación de parches a Exchange suele requerir una actualización del esquema de Active Directory (AD). Como se indicó en una entrada del blog de Exchange de julio, a menudo hay que saber en qué actualización acumulativa se está, e introducir el comando de esquema de AD adecuado. Si dispone de una configuración de correo electrónico híbrida con un servidor de gestión de Exchange local y ha configurado la sincronización con Exchange en línea, también tendrá que parchearlo con las últimas actualizaciones de Exchange. El equipo de Exchange también ha proporcionado parches para versiones anteriores no compatibles en ocasiones debido a un riesgo extremo introducido por una amenaza.
Tenga en cuenta las herramientas de mitigación adicionales que Microsoft ha introducido para proteger y defender mejor los servidores Exchange locales. El Servicio de Mitigación de Emergencia se lanzó en septiembre del 2021 para contrarrestar las amenazas emergentes. Como señala Microsoft, "Al instalar la CU de septiembre del 2021 (o posterior) en Exchange Server 2016 o Exchange Server 2019, el servicio EM se instalará automáticamente en los servidores con el rol Buzón. El servicio EM no se instalará en los servidores Edge Transport".
Aunque puede optar por no utilizar este servicio, le recomiendo que lo habilite en sus servidores Exchange locales. Se le pedirá que instale el módulo de reescritura de URL de IIS y Universal C Runtime en Windows (KB2999226) para Windows Server 2012 y Windows Server 2012 R2. Verifique que un servidor Exchange Server tiene conectividad con el servicio de mitigación mediante el script Test-MitigationServiceConnectivity.ps1 de la carpeta V15\Scripts del directorio del servidor Exchange.
Instale las actualizaciones de seguridad publicadas este mes y las entregadas en el 2021 (CVE-2021-31207) en todas las aplicaciones y sistemas operativos. Si tiene algún problema, siga las recomendaciones y comentarios publicados en las entradas del blog de Exchange, especialmente en las que anuncian parches de seguridad para Exchange.
Revise la segmentación de su red y considere la posibilidad de utilizar el firewall integrado de Windows o su firewall de red para impedir la comunicación de llamada a procedimiento remoto (RPC) y de bloque de mensajes de servidor (SMB) entre puntos finales siempre que sea posible. Limite el uso de administradores locales e implante el kit de herramientas LAPS para aleatorizar la contraseña de administrador local en su red.
Comente con su equipo los recursos y herramientas de que dispone para proteger los servidores Exchange locales. Aunque nunca es ideal pasar de una plataforma con costos fijos a otra basada en flujos de ingresos recurrentes por suscripción, las empresas destinan recursos e inversiones en seguridad a productos y servicios que tienen potencial de crecimiento. Llega un momento en que las tecnologías más antiguas no pueden hacerse seguras o mantenerse al día con el conjunto de características de las plataformas más recientes.
Los atacantes suelen ir un paso por delante de nosotros. Si centramos los recursos en otra cosa, pueden darse cuenta fácilmente de nuestra falta de inversión en servidores de correo con solo leer los números de versión en las cabeceras de los mensajes. El correo electrónico es una herramienta empresarial fundamental, así como una herramienta de ataque fundamental, por lo que hay que invertir en seguridad en consecuencia.
Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú