Cómo proteger a sus clientes de HAFNIUM

ResourcesManaged Threat Response (MTR)Rapid ResponseThreats & Malware
09 Mar 2021 Por

El 2 de marzo de 2021 se hicieron públicas las vulnerabilidades de día cero que afectan a Microsoft Exchange. Estas vulnerabilidades las está explotando activamente HAFNIUM, un grupo de ciberdelincuentes supuestamente vinculado a un estado nacional. Según una alerta de la CISA:

Microsoft ha publicado actualizaciones de seguridad fuera de banda para corregir las vulnerabilidades que afectan a Microsoft Exchange Server 2013, 2016 y 2019. Un atacante remoto puede explotar tres vulnerabilidades de ejecución de código remoto (CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065) para hacerse con el control de un sistema afectado, así como explotar una vulnerabilidad (CVE-2021-26855) para obtener acceso a información sensible. Estas vulnerabilidades se están explotando activamente.

La CISA emitió una directiva de emergencia en la que instaba a las empresas a aplicar los parches en los servidores de Exchange locales y a realizar los correspondientes escaneados de seguridad para comprobar si los atacantes se encontraban en los sistemas.

 

¿Qué deben hacer los clientes de Sophos?

El equipo de Sophos MTR ha publicado una guía paso a paso sobre cómo analizar la red de un cliente en busca de indicios de ataque.

La buena noticia es que los clientes de Sophos MTR y de soluciones para endpoints y redes cuentan con múltiples protecciones contra la explotación de las nuevas vulnerabilidades.

Se ha publicado un artículo de Sophos News que repasa muchas de estas protecciones:

  • Firmas AV relacionadas que han bloqueado HAFNIUM, y recomendaciones sobre qué hacer si se han activado
  • Consultas que los clientes de Sophos EDR pueden ejecutar para identificar posibles shells web para su investigación
  • Firmas IPS para clientes de Sophos Firewall

Ya se han enviado varios avisos de seguridad a los clientes de MTR para explicar el problema y lo que hace la respuesta gestionada a amenazas para mantener a los clientes protegidos.

 

Sophos Managed Threat Response (MTR) y Rapid Response

Durante estos últimos días, las empresas han solicitado más información sobre qué servicios tiene Sophos para verificar su exposición. Sophos MTR Advanced es la solución ideal para protegerse de ataques avanzados como HAFNIUM.

Los clientes actuales de MTR pueden estar tranquilos: el servicio MTR buscó inmediatamente cualquier actividad relacionada en sus redes.

Si un cliente que no es de MTR ve indicios de una actividad de adversarios relacionada, le recomendamos que se ponga en contacto con el equipo de Sophos Rapid Response inmediatamente.

 

Acerca del autor

Sophos is a global leader and innovator of advanced security solutions that defeat cyberattacks, including Managed Detection and Response (MDR) and incident response services and a broad portfolio of endpoint, network, email, and cloud security technologies. As one of the largest pure-play cybersecurity providers, Sophos defends more than 600,000 organizations and more than 100 million users worldwide from active adversaries, ransomware, phishing, malware, and more. Sophos’ services and products connect through the Sophos Central management console and are powered by Sophos X-Ops, the company’s cross-domain threat intelligence unit. Sophos X-Ops intelligence optimizes the entire Sophos Adaptive Cybersecurity Ecosystem, which includes a centralized data lake that leverages a rich set of open APIs available to customers, partners, developers, and other cybersecurity and information technology vendors. Sophos provides cybersecurity-as-a-service to organizations needing fully managed security solutions. Customers can also manage their cybersecurity directly with Sophos’ security operations platform or use a hybrid approach by supplementing their in-house teams with Sophos’ services, including threat hunting and remediation. Sophos sells through reseller partners and managed service providers (MSPs) worldwide. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.