Ya están protegidos el 92% de los servidores con Microsoft Exchange vulnerables

Tres semanas después del lanzamiento del parche de seguridad que mitigaba las vulnerabilidades en Exchange que estaban llevando a ataques en miles de servidores de todo el mundo, a las que siguieron pocos días después varias herramientas de protección y limpieza de sistemas, Microsoft ha asegurado que ya están protegidos contra estas amenazas, o que se han aplicado las herramientas de mitigado de las vulnerabilidades mencionadas al 92% de los servidores del mundo que eran vulnerables.

Así lo ha confirmado la compañía en un tuit de su área de respuesta de seguridad, en el que también apuntan que están registrando un fuerte empuje en la aplicación de parches o herramientas de mitigado en los servidores con conexión a Internet en local, con un 43% más de servidores ya protegidos con respecto a la semana pasada.

En Microsoft han obtenido estas cifras a partir de la telemetría de la compañía RiskIQ, con la que están trabajando los de Redmond para gestionar los efectos colaterales del incidente de seguridad que ha derivado en ataques por todo el mundo a través de Exchange Server.

El pasado 2 de marzo, Microsoft anunció la disponibilidad de parches de seguridad de emergencia para acabar con las vulnerabilidades de Exchange en las versiones Microsoft Exchange Server 2013, Exchange Server 2016 y Exchange Server 2019. En total, con su aplicación los servidores quedan protegidos de cuatro vulnerabilidades «zero-day», que podían derivar en robo de datos y secuestro de servidores, y que estaban siendo explotados activamente en diversos ataques repartidos por distintos países. Debido a estas vulnerabilidades se han registrado ya varias decenas de miles de ataques a entidades de todo tipo en todo el mundo.

Our work continues, but we are seeing strong momentum for on-premises Exchange Server updates:
• 92% of worldwide Exchange IPs are now patched or mitigated.
• 43% improvement worldwide in the last week. pic.twitter.com/YhgpnMdlOX

— Security Response (@msftsecresponse) March 22, 2021

Además de estos parches, Microsoft también ha publicado una guía para la mitigación de los ataques, e incluso ha lanzado una herramienta de mitigación con un click que incluye una reescritura de URLs para tapar una de las vulnerabilidades y detener la formación de un ataque en cadena. Además, se ha actualizado el antivirus Microsoft Defender para que incluya funciones de mitigación automáticas para estas cuatro vulnerabilidades de Exchange Server mencionadas.

Pero a pesar de todas las medidas y precauciones anunciadas, su aplicación en un sistema ya atacado no eliminará los rastros y elementos propios del ataque ya instalados en los servidores, lo que hace necesaria su inspección detallada. El problema es serio, puesto que hay decenas de miles de sistemas que han sido atacados e infectados, y todavía hay ataques en curso que se dirigen contra los servidores que todavía no están protegidos.

Por eso, además de aplicar los parches en los sistemas restantes, los administradores de sistemas tienen que buscar en sus sistemas señales de que hayan sido comprometidos, además de realizar auditorías de seguridad para ver si, efectivamente, han sido atacados antes de aplicar medidas de seguridad.