Advertidos los reasegurados del potencial de un gran volumen de reclamaciones como resultado de los recientes ciberataques en los servidores de los servicios de correo electrónico de Microsoft

El proveedor de análisis cibernético CyberCube ha detectado decenas de miles de servidores Microsoft Exchange en empresas y organizaciones de todo el mundo. Que podrían haberse infectado durante una serie de ciberataques concertados desde principios de este año. Asimismo, las empresas de América del Norte corren un mayor riesgo que las compañías europeas. Pero las empresas grandes y medianas a nivel mundial son vulnerables.

Los ciberataques, lanzados por piratas informáticos patrocinados por el estado chino. Ven vulnerabilidades en los servidores de Microsoft Exchange que se explotan para permitir que se les coloque código malicioso. Este código se puede utilizar para ransomware, espionaje o incluso para desviar los recursos del sistema para extraer criptomonedas en nombre de los delincuentes.

El informe de CyberCube concluye que es probable que las industrias de seguros y reaseguros «vean una larga lista de reclamaciones por desgaste como resultado de este ataque». «La industria de seguros apenas está comenzando a comprender el alcance de los posibles daños». 

Es demasiado pronto para calcular las pérdidas potenciales por el robo de la propiedad intelectual de las organizaciones. Este tipo de violaciones de datos podrían haber retrasado los impactos en la competitividad comercial. Una acumulación de pérdidas podría resultar en que múltiples, decenas de miles, de compañías hagan reclamos de seguros para cubrir investigación, legal, interrupción del negocio y posibles multas regulatorias. Todavía existe la posibilidad de que incluso más atacantes lancen ransomware u otros tipos de ciberataques destructivos .

ciberataques a servidores con Microsoft Exchange

Microsoft ha parcheado recientemente varias vulnerabilidades en su sistema para servidores Microsoft Exchange Server. Los usuarios que no han actualizado, cada vez reciben más ataques, y estos se duplican cada dos o tres horas. Desde el pasado 2 de marzo, Microsoft ha descubierto la presencia de vulnerabilidades día cero consideradas «críticas» que permitían una cadena de ataque iniciada por una «conexión no segura» a los servidores funcionando con Exchange, pero que también podían explotarse si se conseguía otro tipo de acceso.

Asimismo, lanzó una actualización para corregir cuatro vulnerabilidades de Exchange:

1. CVE-2021-26857, una vulnerabilidad de deserialización insegura en el servicio de Mensajería Unificada. Este error se produce cuando los datos no confiables controlados por el usuario son deserializados por un programa. La explotación de esta vulnerabilidad da a grupos como Hafnium la capacidad de ejecutar código como sistema en el servidor Exchange, lo que requiere el permiso del administrador u otra vulnerabilidad.
2. CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Exchange. Permite al ciberdelincuente enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
3. CVE-2021-26858, vulnerabilidad de escritura arbitraria de archivos después de la autenticación en Exchange. Si el atacante pudiera autenticarse en el servidor, podría utilizar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podría autenticarse explotando la vulnerabilidad CVE-2021-26855 SSRF o comprometiendo las credenciales de un administrador legítimo.
4. CVE-2021-27065, vulnerabilidad de escritura arbitraria de archivos posterior a la autenticación en Exchange. Si los ‘hackers’ chinos de Hafnium pudieran autenticarse, podrían escribir un archivo en cualquier ruta del servidor. También podrían autenticarse explotando el error CVE-2021-26855 SSRF o usando las credenciales de administrador.

Microsoft recomendó a las compañías actualizar sus servidores con las versiones afectadas de Exchange (2016 y 2019), debido a que los equipos desactualizados siguen siendo vulnerables.