Claves para hacer frente a las vulnerabilidades en Microsoft Exchange

Recomendados:  Transformando España. Nuevos impulsos para la evolución de la administración digital Webinar Cómo ofrecer un entorno de trabajo seguro en tu empresa Leer Almacenamiento de vanguardia para la pyme Leer

Hace unos días se detectaron vulnerabilidades en Microsoft Exchange que pueden provocar un impacto significativo en las empresas que utilicen los servidores de correo electrónico. Fue a primeros de este mes cuando Microsoft y sus investigadores de seguridad revelaron cuatro vulnerabilidades en Microsoft Exchange que estaban siendo atacadas. Ante esta situación, Microsoft publicó parches de emergencia para esas vulnerabilidades y explicó que las vulnerabilidades eran objeto de ataques “dirigidos y limitados”. Sin embargo, en los días posteriores el número de ataques se ha disparado.

Según el autor en materia de seguridad Brian Krebs, más de 30.000 organizaciones en los Estados Unidos y, posiblemente, cientos de miles de organizaciones en todo el mundo, se han visto afectadas por ataques contra estas vulnerabilidades. Por su parte, el ex responsable de la CISA en Estados Unidos ha señalado que “estos ataques van a impactar desproporcionadamente a los que menos pueden permitírselo, como es el caso de las pymes”.

Avast coincide en que este tipo de empresas se enfrentan a los riesgos particulares de estos ataques. A lo que se suma la escasa información disponible sobre esta situación que esté dirigida a este público en concreto. Para ayudar a sus clientes del sector pyme, Avast ha recopilado una serie de consejos para que estas organizaciones sepan qué medidas pueden y deben adoptar para protegerse. El autor de estos consejos es Christopher Budd, Senior Global Threat Communications Manager de Avast, quien trabajo durante diez años en el Centro de Respuesta de Seguridad de Microsoft (MSRC).

Las claves para hacer frente a esta situación por parte de las pymes son:

1. Parchear inmediatamente. Sin embargo, debe considerarse que la implementación de los parches solo protegerá los sistemas de cualquier intento futuro que pretenda explotar estas vulnerabilidades. Por tanto, si el sistema ha sido atacado, los parches no desharán nada. Éstos solo corrigen vulnerabilidades, no erradican las herramientas de los atacantes.

2. Tomar medidas para determinar si el sistema ha sido comprometido. El primer paso es utilizar la información proporcionada por Microsoft para determinar si el sistema de la empresa se ha visto comprometido a través de alguno de los ataques detectados. Sin embargo, si no se encuentra esta información relativa al aviso de Microsoft en el sistema, no se debe asumir que el sistema no se ha visto comprometido. En este caso solo se puede concluir que el sistema no se ha visto comprometido por los ataques ya conocidos. En este caso, la mejor solución es llevar a cabo un análisis especifico y exhaustivo de los sistemas.

3. Desconectar y reconstruir cualquier sistema que haya sido comprometido. Es importante desconectar el sistema comprometido de inmediato, para cerrar la puerta de acceso del atacante, y reconstruirlo por completo para eliminar del sistema a los atacantes y sus herramientas. En ese caso, se puede considerar restaurar el sistema a partir de copias de seguridad, pero cerciorando que esas copias de seguridad son previas al momento en el que el sistema se vio comprometido, porque si no se estará restaurando el sistema con las herramientas de los atacantes. Además, se debe parchear el sistema antes de volver a conectarlo y volver a ponerlo nuevamente en servicio.

4. Poner en marcha una monitorización y un escaneo de seguridad minuciosos para detectar cualquier otro signo de compromiso en la red. El objetivo es identificar cualquier comportamiento insólito en la red. De igual forma se debe realizar un análisis de seguridad muy minucioso en todos y cada uno de los sistemas para ayudar a identificar otro malware o herramientas que los atacantes puedan haber colocado en los sistemas y en la red.