En una reciente revelación, un actor malicioso ha estado explotando vulnerabilidades en Microsoft Exchange Server para infiltrarse en los sistemas y desplegar un malware tipo keylogger. Este ataque ha afectado a más de 30 organizaciones en África y Oriente Medio, según la empresa de ciberseguridad Positive Technologies. Las víctimas incluyen desde organismos gubernamentales hasta instituciones financieras y educativas. La primera infiltración registrada data de 2021.
Positive Technologies ha detallado el modus operandi de este keylogger, que recopila credenciales de cuentas y las almacena en un archivo accesible a través de una ruta específica en Internet. Los países afectados incluyen Rusia, Emiratos Árabes Unidos, Kuwait, Omán, Níger, Nigeria, Etiopía, Mauricio, Jordania y Líbano.
La infiltración explotó vulnerabilidades conocidas como fallos ProxyShell, específicamente CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207. Microsoft abordó estos fallos en mayo de 2021; estos permitían la evasión de autenticación, la elevación de privilegios y la ejecución remota de código, facilitando la instalación del keylogger en la página principal de Exchange Server.
El ataque comienza con la explotación de ProxyShell, seguido por la adición subrepticia del keylogger a la página principal del servidor, específicamente en el archivo «logon.aspx». Esta inyección de código captura credenciales que luego se almacenan en un archivo accesible a través de Internet cuando el usuario hace clic en el botón de inicio de sesión.
Es crucial que las organizaciones actualicen sus instancias de Microsoft Exchange Server a la última versión para mitigar los riesgos de privacidad de datos. La protección de puntos finales es fundamental para salvaguardar los dispositivos frente a ciberamenazas en evolución. Se recomienda vigilar y supervisar el sistema, en particular la presencia del keylogger en el archivo «logon.aspx». Si se detecta un compromiso, es vital identificar y eliminar el archivo que almacena los datos de la cuenta robada.
Garantizar la seguridad del servidor de correo electrónico es primordial en el panorama digital actual. Las organizaciones deben actualizar sus instancias de Exchange Server con prontitud y realizar evaluaciones exhaustivas para asegurar la integridad de sus sistemas. Incorporar inteligencia sobre amenazas en las operaciones de ciberseguridad mejora las estrategias de detección y mitigación proactivas.
Las vulnerabilidades en Microsoft Exchange Server que permiten el despliegue de keyloggers destacan la evolución constante de las amenazas a la ciberseguridad. Mantenerse informado, adoptar actualizaciones de seguridad y colaborar con expertos en ciberseguridad son pasos esenciales para proteger los activos digitales y mantener la integridad de las operaciones frente a amenazas emergentes.
