El programa de correos electrónicos corporativos Microsoft Exchange presenta una vulnerabilidad que están explotando algunas empresas y gobiernos para atacar a sus competencias o enemigos.
Los interesados en la acción desleal contratan APT, que son colectivos hackers que están pagados o patrocinados por gobiernos y países, para ejecutar la penetración en las organizaciones y compañías.
La firma británica de ciberseguridad Volexity detectó los ataques, observando cómo «las APT están explotando o intentando aprovechar esta vulnerabilidad con credenciales que de otro modo no habrían sido utilizadas».
APT son las siglas de «amenaza avanzada persistente» en inglés, y es una suerte de eufemismo para describir a colectivos cibercriminales, mientras que Microsoft Exchange es una solución informática de los de Seattle para que las empresas tengan sus propios correos electrónicos corporativos.
Según resume la empresa investigadora, un hacker podía atacar aprovechando la vulnerabilidad de Exchange si se cumplían estos 3 patrones:
- El Exchange Server no ha sido parcheado con la actualización del 11 de febrero.
- La interfaz del Panel de Control del programa es accesible a los atacantes.
- Los hackers tienen una credencial activa que les permite recopilar las cookies de una sesión iniciada en Microsoft Exchange.
En otras palabras, los atacantes necesitan la contraseña de una cuenta de correo del servidor de Microsoft Exchange.
Volexity advierte que esta vulnerabilidad es una nueva puerta de oportunidad para que los atacantes entren en organizaciones «donde antes no habían tenido éxito». «Afortunadamente, para explotar esta vulnerabilidad se necesita de una contraseña comprometida y esto impedirá que haya un contagio exponencial, como ocurre en casos de ransomware«.
Sin embargo, otros expertos advierten que esa necesidad no frenará a las bandas dedicadas al ransomware, ya que estas suelen operar lanzando primero campañas de pishing con las que podrán engañar a trabajadores de las organizaciones objetivo para robar sus credenciales.
De hecho, Volexity ha detectado el aumento de intentos de explotar esta vulnerabilidad que acaba de ser descubierta debido a que se han multiplicado los ataques de fuerza bruta, con los que las APT pagadas por gobiernos y países intentan robar contraseñas de empleados de organizaciones. «En Volexity creemos que estos esfuerzos se relacionan con ataques de APT bien conocidas».
De hecho, el Departamento de Defensa de EEUU ha confirmado que entre los atacantes se ha detectado a algunos de los «grandes agentes» en el mundo de las APT, estos grupos de hackers a sueldo de países.
NotiVeraz