El pasado viernes 30 de septiembre, se dio a conocer un noticia que impacto a millones: el Hackeo a la Secretaría de la Defensa Nacional (SEDENA). Se sufrió uno de los mayores ataques cibernéticos en la historia de México y en el que se expusieron miles de documentos confidenciales.
A través de un comunicado, se dio a conocer que la SEDENA había sufrido un ataque por un grupo de ciberdelincuentes que lograron obtener alrededor de 6 terabytes de información clasificada, incluidos miles de correos electrónicos.
Esto ha dejado en evidencia la gran brecha de seguridad que tenemos en México; así como, la falta de concientización y prevención en materia de ciberseguridad, por esta razón es importante recordarte que implementes una estrategia de seguridad acorde a tus activos y tipo de empresa.
>> ¿Qué es la seguridad en puntos finales (endpoints)? 5 tips básicos para su protección<<
De acuerdo con del Índice de Ciberseguridad Nacional (NCSI), un organismo que nos permite medir los avances de cada país en cuanto a ciberseguridad, México ocupa el lugar 84 de los 160 países registrados, lo que nos da un claro mensaje de que hay reforzar medidas, no solo en el Gobierno Mexicano, sino también en las empresas que se encuentran en nuestro país.
Pero... ¿Qué ocurrió en este hackeo a la SEDENA?
Te platicamos más sobre la vulnerabilidad ProxyShell
De acuerdo con el equipo de investigación de Trend Micro, ProxyShell hacen referencia a los fallos en los servidores de Microsoft Exchange, lo que otorga a los ciberatacantes ciertos privilegios para ejecutar el código de manera remota, teniendo así el control total de los dispositivos vulnerados. Este fallo tuvo un parche de seguridad en las actualizaciones publicadas en mayo y junio del 2022.
Sin embargo, los dispositivos que no tuvieron la actualización correcta no se encuentran protegidos y pueden estar expuestos algunas de las fallas de seguridad identificadas por los siguientes CVE:
CVE-2021-34473 – Proporciona un mecanismo para la ejecución remota de código de autenticación previa, lo que permite a los atacantes ejecutar código de forma remota en un sistema afectado.
CVE-2021-34523 - Permite a los atacantes ejecutar código arbitrario después de la autenticación en los servidores de Microsoft Exchange debido a una falla en el servicio de PowerShell que no valida correctamente los tokens de acceso .
CVE-2021-21207 – Permite a los atacantes, posterior a la autenticación, ejecutar código arbitrario en el contexto del sistema y escribir archivos arbitrarios.
Y las 2 identificadas en el hackeo a la SEDENA
CVE-2022-41040 - Se trata de una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF).
CVE-2022-41082 - Esta permite la ejecución remota de código cuando PowerShell es accesible para el atacante.
Debido a estas vulnerabilidades, Microsoft publicó como puedes mitigar la vulnerabilidad CVE-2022-41040 aplicable para Exchange On-Premise. Puedes consultar todos los detalles aquí.
Medidas a considerar para evitar este tipo de ataques
Después de ver la realidad sobre los ataques que puede sufrir cualquier institución, organización o persona, puede que te surja la duda sobre: ¿Qué puedes hacer para no formar parte de las estadísticas de ataque y comprometer tu información? Y es que hoy en día, los datos son tan valiosos y pueden estar expuestos a cualquier agente si no los protegemos correctamente.
Es por ello, que queremos darte estos tips para que protejas tus activos importantes, los de tus clientes y usuarios:
1.- Tener un plan de ciberseguridad: Este puede variar de acuerdo a tu tipo de empresa, número de colaboradores y necesidades de cada área de tu organización.2.- Hacer copias de seguridad de tu información: Es importante que fijes periodos de tiempo para realizar una copia de todos tus datos y, aquellos que sean importantes, hacer la copia el mismo día en que lo realices. Así evitas perder información.
3.- Cuidado con los correos electrónicos: Evita abrir mails sospechosos o acceder a enlaces desconocidos, muchas de las veces se hacen pasar por instituciones bancarias, tiendas comerciales y más recientemente antivirus para poder acceder a tu información. Si detectas un correo sospechoso acércate a tu área de TI para que ellos investiguen más al respecto.
4.- Utiliza el método de autenticación de doble factor: Este mecanismo de verificación ha salvado a más de 1 de ser atacado. En cada una de las herramientas que utilices y posea este método no dudes en usarlo.
Aquí 3 recomendaciones de proveedores de seguridad
- - SECURITY ALERT: Attack Campaign Utilizing Microsoft Exchange 0-Day
- - CVE-2022-41040 and CVE-2022-41082: Microsoft Exchange Server (ProxyNotShell)
- - Attackers Move Quickly to Exploit High-Profile Zero Days
Si te interesaría seguir aprendiendo sobre las Alerta de vulnerabilidad de Microsoft Exchange y Ataques del Día Cero, te recomendamos inscribirte al Webinar de Trend Micro en el que especialistas hablarán sobre como ejecutan estos ataques y cuales son sus recomendaciones al momento de ser víctima de los ciberdelincuentes.
¿Te gustaría agendar una cita para evaluar la ciberseguridad de tu organización y crear juntos una estrategia de protección y prevención ante cualquier ataque? En Grupo Smartekh nos encantaría apoyarte y poder generar una sesión de trabajo en conjunto, puedes agendar una cita sin costo AQUÍ.