El 2 de marzo de 2021 se hicieron públicas las vulnerabilidades de día cero que afectan a Microsoft Exchange. Estas vulnerabilidades las está explotando activamente HAFNIUM, un grupo de ciberdelincuentes supuestamente vinculado a un estado nacional. Según una alerta de la CISA:
“Microsoft ha publicado actualizaciones de seguridad fuera de banda para corregir las vulnerabilidades que afectan a Microsoft Exchange Server 2013, 2016 y 2019. Un atacante remoto puede explotar tres vulnerabilidades de ejecución de código remoto (CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) para hacerse con el control de un sistema afectado, así como explotar una vulnerabilidad (CVE-2021-26855) para obtener acceso a información sensible. Estas vulnerabilidades se están explotando activamente.”
La CISA emitió una directiva de emergencia en la que instaba a las empresas a aplicar los parches en los servidores de Exchange locales y a realizar los correspondientes escaneados de seguridad para comprobar si los atacantes se encontraban en los sistemas.
¿Qué deben hacer los clientes de Sophos?
El equipo de Sophos MTR ha publicado una guía paso a paso sobre cómo analizar la red de un cliente en busca de indicios de ataque.
La buena noticia es que los clientes de Sophos MTR y de soluciones para endpoints y redes cuentan con múltiples protecciones contra la explotación de las nuevas vulnerabilidades.
Se ha publicado un artículo de Sophos News que repasa muchas de estas protecciones:
- Firmas AV relacionadas que han bloqueado HAFNIUM, y recomendaciones sobre qué hacer si se han activado
- Consultas que los clientes de Sophos EDR pueden ejecutar para identificar posibles shells web para su investigación
- Firmas IPS para clientes de Sophos Firewall
Ya se han enviado varios avisos de seguridad a los clientes de MTR para explicar el problema y lo que hace la respuesta gestionada a amenazas para mantener a los clientes protegidos.
Sophos Managed Threat Response (MTR) y Rapid Response
Durante estos últimos días, las empresas han solicitado más información sobre qué servicios tiene Sophos para verificar su exposición. Sophos MTR Advanced es la solución ideal para protegerse de ataques avanzados como HAFNIUM.
Los clientes actuales de MTR pueden estar tranquilos: el servicio MTR buscó inmediatamente cualquier actividad relacionada en sus redes.
Si un cliente que no es de MTR ve indicios de una actividad de adversarios relacionada, le recomendamos que se ponga en contacto con el equipo de Sophos Rapid Response inmediatamente.