Microsoft se ha vuelto el epicentro de un nuevo escándalo, ya que en días recientes se ha informado de un hackeo masivo Microsoft Exchange gracias a vulnerabilidades de día Zero no parchadas en sus sistemas.
De acuerdo al periodista en ciberseguridad Brian Krebs, Microsoft fue alertado desde Enero de 2021 acerca de las vulnerabilidades en su software, sin embargo, hizo caso omiso a estas advertencias hasta Marzo de 2021 donde informaron a los usuarios y parcharon estos errores.
Esta ventana temporal de 3 meses les permitió a los ciberdelincuentes explotar las vulnerabilidades identificadas como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065, afectando a más de 60mil usuarios a nivel mundial.
Al parecer, los principales objetivos de los cibercriminales fueron organizaciones y entidades gubernamentales, lo cual representa una amenaza de ciberespionaje para los países afectados
¿Qué es Microsoft Exchange?
Microsoft Exchange es un software que incluye servicio de mensajería por medio de correo electrónico, un calendario y otros servicios para trabajo en grupo. Se trata de un programa de colaboración entre usuarios y que forma parte de una línea de productos para Microsoft Servers.
Es ampliamente utilizado a nivel mundial por grandes empresas ya que fue diseñado para ser utilizado en entornos comerciales. El servidor de Exchange se utiliza en conjunto con Microsoft Outlook. Permite manipular los mails, almacenar información, nombrar calendarios, contactos y tareas compartidas.
El ciberataque a Microsoft y los objetivos de los hackers
Como ya mencionamos antes, Microsoft dio aviso por medio de una publicación en su blog de cuatro vulnerabilidades en su software Exchange, las cuales les permitieron a los hackers acceder a sus servidores y a los correos electrónicos de las víctimas, además de la instalación de malware para facilitar el acceso a largo plazo a los entornos de los usuarios afectados (acceso persistente)
De acuerdo a un reporte de Mandiant, las vulnerabilidades fueron explotadas contra objetivos estratégicos dentro de los Estados Unidos. Los ciber-delincuentes aprovecharon de estas brechas para implementar shell webs, los cuales son una serie de scripts que permiten ejecutar distintas acciones dentro de un servidor.
La compañía a acusado a Hafnium, una organización vinculada a China pero que opera fuera de este país, de ser la culpable de este ciberataque. Se espera que los problemas y amenazas persistan incluso después de haber sido parchadas debido al tiempo que la compañía dejó pasar para advertir a sus usuarios y solucionar este problema.
Quizá te interese leer: SOLARWINDS: EL MAYOR CIBERATAQUE DE LA HISTORIA.