Hackeo de Microsoft Exchange: Cómo fue posible y cómo prevenirlo.
El hackeo de Microsoft Exchange fue uno de los peores hackeos de la historia, pero seguramente no fue el último.
Hackeo de Microsoft Exchange
¿En qué consistió el hackeo de Microsoft Exchange?
En enero de 2021 se comunicaron a Microsoft varios exploits de día cero que permitían a los atacantes malintencionados acceder de forma remota a los servidores de Microsoft Exchange. El 2 de marzo, Microsoft publicó un parche para cerrar estas vulnerabilidades. Sin embargo, a día de hoy no todos los servidores Exchange están parcheados, por lo que los ataques continúan.
¿Cómo fue posible el hackeo de Microsoft Exchange?
Las vulnerabilidades de día cero son vulnerabilidades de software informático que son desconocidas por el proveedor de un software. En el caso de Microsoft Exchange, es muy probable que las vulnerabilidades existan desde 2010. Los servidores Exchange utilizados por decenas de miles de empresas, autoridades públicas y otras organizaciones estaban ejecutando el software afectado en sus servidores Exchange alojados localmente.
La gran cantidad de servidores Exchange en uso, así como el tiempo necesario para que cada organización parchee sus servidores, abrió la puerta a los atacantes maliciosos para abusar de estas vulnerabilidades, incluso después de que el parche estuviera disponible.
Sólo en Estados Unidos, al menos 30.000 organizaciones han sido atacadas.
Cronología
Enero
La vulnerabilidad de Microsoft Exchange que permite a un atacante saltarse la autenticación y hacerse pasar por el administrador de ese servidor fue reportada por primera vez por un investigador de seguridad principal de la firma de pruebas de seguridad DEVCORE que se hace llamar “Orange Tsai”.
Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝
— Orange Tsai 🍊 (@orange_8361) January 5, 2021
Ese mismo mes, la empresa de seguridad Dubex alerta a Microsoft sobre los ataques a un nuevo fallo de Exchange.
Febrero
A principios de febrero, la firma de seguridad Volexity advierte a Microsoft sobre ataques activos a vulnerabilidades de Exchange previamente desconocidas.
El 8 de febrero, Microsoft comunica a Dubex que ha “escalado” su informe internamente.
Marzo
El 2 de marzo, Microsoft publica actualizaciones para parchear cuatro fallos de día cero en Exchange.
Sin embargo, la explotación masiva de las vulnerabilidades ya ha comenzado el 28 de febrero.
El 12 de marzo, Microsoft dice que todavía hay 82.000 servidores sin parchear expuestos.
A día de hoy, muchos servidores de Microsoft Exchange alojados localmente siguen sin parchear y siguen siendo vulnerables a estos exploits.
Los atacantes
Microsoft dijo que el ataque fue cometido inicialmente por HAFNIUM, un grupo de hackers patrocinado por el estado chino. Microsoft identificó a HAFNIUM como “un actor altamente cualificado y sofisticado”. Los sistemas de correo electrónico de la empresa fueron atacados para exfiltrar “información de una serie de sectores de la industria, incluidos investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de reflexión política y ONG” Según Microsoft, esta fue “la octava vez en los últimos 12 meses que Microsoft ha revelado públicamente que grupos de estados nacionales tienen como objetivo instituciones críticas para la sociedad civil” Más tarde, las vulnerabilidades fueron explotadas también por otros atacantes.
Qué podemos hacer para proteger nuestros datos
En primer lugar, tenemos que reconocer que lograr la seguridad en línea es una tarea difícil. Aunque la mayoría de los proveedores de alojamiento son muy buenos a la hora de parchear las vulnerabilidades inmediatamente, la seguridad para muchas empresas es también una cuestión de confianza.
La confianza es la principal razón por la que las empresas, sobre todo en Alemania, siguen prefiriendo alojar sus datos en casa. Esto es totalmente comprensible: Si se sabe dónde está el servidor, si se sabe quién tiene acceso a los servidores, se confía en que los datos de estos servidores se mantienen seguros.
La alternativa -alojar los datos de su empresa en la nube, es decir, en los servidores de otras personas- parece mucho más arriesgada y poco fiable. Y la verdad es que estas empresas tienen razón: si alojas tus datos en la nube, debes confiar en que el proveedor de alojamiento mantiene los datos seguros por todos los medios. Esto también incluye que el proveedor debe mantener los datos a salvo de sus propios empleados, lo que es casi imposible. Una reciente investigación de Bellingcat mostró lo fácil que puede ser obtener datos personales sensibles de los empleados.
El cifrado es inevitable
La confianza, sin embargo, puede crearse añadiendo otro nivel de seguridad: el cifrado de extremo a extremo.
Cualquier dato cifrado de extremo a extremo permanece inaccesible para el proveedor de servicios. Tutanota, por ejemplo, es uno de esos servicios que encripta todos los datos posibles de extremo a extremo.
En consecuencia, Tutanota y todos sus empleados tienen acceso cero a los datos cifrados de los clientes. Además, si un atacante malintencionado consiguiera acceder a los servidores, también tendría acceso únicamente a los datos cifrados, lo que hace que los datos sean inutilizables para el espionaje industrial por parte de agentes estatales extranjeros.
Los proveedores de servicios en la nube suelen tener un claro enfoque en la seguridad. Al fin y al cabo, es su responsabilidad parchear rápidamente las vulnerabilidades. Esto libera a las empresas que alojan sus datos con un proveedor de nube de la tarea de actualizar manualmente sus servidores. Lo que se requiere además es que el proveedor de la nube también aplique el cifrado de extremo a extremo a los datos de los clientes.
Hacer bien la seguridad
Los hackeos de Microsoft Exchange demuestran que hacer bien la seguridad es difícil.
Es especialmente difícil para las pequeñas y medianas empresas, lo que se pone de manifiesto en el hecho de que, a día de hoy, miles de servidores Exchange siguen sin parchear.
Con el cifrado de extremo a extremo disponible en cada vez más servicios como Tutanota, es hora de reconocer que alojar los datos en la nube cifrados puede ser una alternativa fiable para muchas empresas.