Hackearon Microsoft y ya cayeron una entidad financiera en Chile y Canal 9 en Argentina

Se conocieron nuevas víctimas del ataque ProxyLogon. Ya afectó a entidades en Chile y Argentina.

Se intensificaron los ataques realizados con el exploit informático ProxyLogon. Se trata de una vulnerabilidad dentro de Microsoft Exchange que permite a los atacantes escalar privilegios y, así, infiltrarse en los sistemas. Ya se conocen algunas de las víctimas, al menos una de las cuales es argentina.

La Comisión para el Mercado Financiero (CMF) de Chile reveló que su servidor Microsoft Exchange se vio comprometido a través de las vulnerabilidades de ProxyLogon, recientemente reveladas. El CMF opera bajo el Ministerio de Finanzas y es el regulador e inspector de bancos e instituciones financieras en Chile. Esta semana, CMF reveló que sufrieron un ciberataque después de que los atacantes explotaran las vulnerabilidades de ProxyLogon en sus servidores de Microsoft Exchange para instalar shells web e intentar robar credenciales.

A finales de 2020, Orange Tsai, un investigador que trabaja para la organización de consultoría de seguridad de Taiwán DEVCORE, descubrió una vulnerabilidad de proxy de autenticación previa en los servidores Exchange que permite a un actor remoto eludir la autenticación y recibir privilegios de servidor de administración.  La suite de soluciones de Microsoft Exchange incluye el producto Teams (de videollamadas) y Outlook (gestor de correo electrónico).

Combinado con una vulnerabilidad posterior a la autenticación que permite escrituras de archivos arbitrarios en el sistema (descubierto por Tsai tres semanas después), un actor puede lograr la ejecución remota de comandos de comandos arbitrarios a través de servidores Exchange expuestos a Internet. El acceso inicial se logra mediante la carga de un shell web. 

"La Comisión para el Mercado Financiero (CMF) actualiza información sobre el incidente operacional provocado por vulnerabilidades en la plataforma de correo electrónico Microsoft Exchange.

Los análisis realizados por el área de seguridad de la información y tecnología de la CMF, junto a apoyo especializado externo, confirmaron que se trató de un incidente aislado y circunscrito a la plataforma Microsoft Exchange, sin afectación de otras plataformas o servicios de la Comisión.

De esta manera, se encuentran disponibles y operando con normalidad los canales de comunicación con el público en general y los supervisados: Extranet, Sistema SEIL y CMF sin papel.

Cabe recordar que desde que fuese detectada la vulnerabilidad, la tarde del viernes 12 de marzo, la CMF activó sus protocolos de ciberseguridad y las medidas de contención necesarias para mantener la continuidad de los servicios.

Para ello se constituyeron de manera presencial y remota los equipos técnicos de la Comisión, sumándose de inmediato la asesoría especializada de la firma Dreamlab Technologies.

La CMF continúa la investigación de este incidente. Una vez finalizada, de ser necesario, adoptará las medidas que estime pertinentes en el marco de sus atribuciones para garantizar el adecuado funcionamiento de sus plataformas e infraestructura tecnológica".

Comunicó oficialmente la entidad financiera. Hasta el momento, según información de la firma de ciberseguridad Eset, hay varios grupos de hackers organizando ataques a través de este exploit.  Grupos como Haifnus, Tick, LuckyMous o ShadowPad están aprovechando la vulnerabilidad de la suite de Microsoft para infiltrarse en los sistemas de diversas entidades.

Las vulnerabilidades de ProxyLogon permiten a los atacantes leer correos electrónicos desde un servidor Exchange físico en las instalaciones sin autenticación (Office 365 y las instancias en la nube no se ven afectadas) y, al encadenar vulnerabilidades adicionales, pueden apoderarse del servidor de correo de la víctima, lo que representa un riesgo de seguridad crítico: por caso, ya se conoce una nueva variedad de ransomware, DearCry, que está siendo instalada en los servidores comprometidos. Otro de los usos que pueden dar los atacantes es instalar mineros de criptomonedas, que utilizan los recursos robados para minar monedas digitales como Bitcoin.

Según la firma de seguridad Check Point Research, EE. UU. es el país más afectado, con el 17% de todos los intentos de explotación, seguido de Alemania, el Reino Unido, Holanda y Rusia. Los sectores más afectados por Check Point continúan siendo el gobierno y el ejército, que están en el extremo receptor del 23% de los intentos de ataque, seguidos por la manufactura (15%), los servicios bancarios y financieros (14%), los proveedores de software (7% ) y salud (6%). En el caso de las entidades públicas, se conoce que los servidores del parlamento de Suecia fueron afectados. En nuestro país, se confirmó el caso de Canal 9, según reportaron investigadores cercanos al ataque.



Tags relacionados

Más de Actualidad