El número de usuarios atacados por exploits dirigidos a vulnerabilidades en los servidores Microsoft Exchange, y bloqueados por productos de Kaspersky, aumentó significativamente entre julio y agosto. En América Latina, el aumento de ataques registrado en agosto fue del 153%, con Venezuela (450%), Chile (378%), México (258%), Ecuador (242%) y Argentina (186%) liderando la lista de países más afectados. Le siguen Perú (176%), Paraguay (165%), Brasil (67%) y Colombia (57%).
Según los expertos de la empresa, este asombroso aumento está relacionado con el creciente número de ataques que intentan explotar vulnerabilidades previamente reveladas en el producto y el hecho de que los usuarios no instalan los parches del software vulnerable tan pronto estos están disponibles, lo que amplía el potencial de ataque.
Las vulnerabilidades dentro de Microsoft Exchange Server causaron mucho caos este año. El 2 de marzo de 2021, el público se enteró del exploit “in-the-wild” de las vulnerabilidades de día cero dentro de Microsoft Exchange Server, que luego fueron utilizadas en una ola de ataques a organizaciones de todo el mundo. Meses después, Microsoft también emitió parches para una serie de las denominadas vulnerabilidades de ProxyShell: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207.
En conjunto, estas vulnerabilidades representan una amenaza crítica, ya que permiten a un atacante eludir la autenticación y ejecutar código como usuario privilegiado. Aunque los parches para estas vulnerabilidades fueron emitidos hace algún tiempo, los ciberdelincuentes no dudaron en explotarlas, resultando en 74.274 intentos de ataque registrados a nivel mundial por las tecnologías de Kaspersky a estas vulnerabilidades de MS Exchange en los últimos seis meses.
Además, como advirtió la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA, por sus siglas en inglés) en Estados Unidos el 21 de agosto, las vulnerabilidades ProxyShell están siendo explotadas activamente por los ciberdelincuentes en una reciente ola de ataques. En su aviso, publicado el 26 de agosto, Microsoft explicó que un servidor de Exchange es vulnerable si no está ejecutando una Actualización acumulativa (CU, por sus siglas en inglés) con, por lo menos, la Actualización de seguridad de mayo (SU, por sus siglas en inglés).
Según la telemetría de Kaspersky, en la última semana de agosto, las tecnologías de la empresa bloquearon más de 1.700 ataques diarios a usuarios únicos con exploits al ProxyShell, registrando un aumento del 170% de usuarios atacados a nivel global en comparación con julio de 2021. En América Latina, el aumento promedio de la región registrado fue del 153%. Esto refleja el problema a gran escala que estas vulnerabilidades representan si no son parchadas.
“El hecho de que estas vulnerabilidades estén siendo explotadas de forma activa no es sorpresa; frecuentemente, las vulnerabilidades de Día 1 (las que ya han sido reveladas y cuentan con parches emitidos por sus desarrolladores) representan una amenaza aún mayor, ya que son conocidas por una gama más amplia de ciberdelincuentes que prueban suerte para penetrar cualquier red que este a su alcance. Este crecimiento activo de ataques demuestra una vez más por qué es esencial instalar parches a las vulnerabilidades tan pronto estos estén disponibles para evitar que las redes se vean comprometidas. Recomendamos encarecidamente seguir el reciente aviso de Microsoft para mitigar mayores riesgos”, comentó Evgeny Lopatin, Investigador de Seguridad en Kaspersky.
Los productos de Kaspersky protegen contra los ataques que aprovechan las vulnerabilidades en Proxy Shell por medio de componentes de Behavior Detection y Exploit Prevention. Los ataques se detectan con los siguientes veredictos:
• PDM:Exploit.Win32.Generic.
• HEUR:Exploit.Win32.ProxyShell.
• HEUR:Exploit.*.CVE-2021-26855.
