Seguridad

Fortune 500 afectado por la brecha de MS Exchange aún puede no estar al tanto

Jonathan Crane, Fundador y Director Ejecutivo conspiraciónuna startup de ciberseguridad con sede en Austin, Texas, que utilizó las herramientas de ciberseguridad de su empresa para compilar una lista de las empresas Fortune 500 que aún estaban expuestas el mes pasado Infracción de Microsoft ExchangeEs posible que muchas de estas empresas no sepan que sus redes se han visto comprometidas.

Las herramientas de Intrigue descubrieron una infiltración de gran alcance que fue pirateada con éxito por la unidad de espionaje cibernético de China el mes pasado. Intrigue compiló una lista de empresas de Fortune 500 que todavía estaban expuestas a las vulnerabilidades de Microsoft Exchange, pero Cran se negó a revelar los nombres de la lista debido a problemas legales.

La vulnerabilidad de Microsoft Exchange se centra en el robo de correo electrónico de aproximadamente 30 000 organizaciones mediante la explotación de cuatro vulnerabilidades recién descubiertas en el software de correo electrónico de Microsoft Exchange Server. Según los informes publicados, el ataque proporcionó a cientos de miles de organizaciones de víctimas en todo el mundo las herramientas para dar a los atacantes el control remoto total de los sistemas afectados.

Fortune 500 víctimas de infracciones

El monitoreo web de Intrigue encontró 120 exposiciones entre las compañías Fortune 500. Un total de 62 organizaciones individuales se vieron afectadas y 23 organizaciones expusieron múltiples sistemas independientes. Cran señaló que se descubrió que una empresa de servicios profesionales había expuesto más de 25 sistemas separados.

En términos de la amplitud de esta exposición, Intrigue descubrió que las organizaciones de Fortune 500 se vieron afectadas en una amplia gama de verticales. Este riesgo no se limita a áreas específicas de la industria, dijo, sino que está generalizado en todos los tipos de negocios.

LEER  Adoptar una mentalidad de mantenimiento: asegurar la TI

«Estas son exposiciones conocidas descubiertas a través de métodos principalmente pasivos. Descubrimos que cuando nuestros clientes se acercaron a nosotros directamente para mapear su superficie de ataque, la cantidad de activos conocidos podría aumentar fácilmente en función de más información y semillas que proporcionaron el doble o el triple, por lo que esta lista de exposiciones no es integral», dijo Cran a TechNewsWorld.

Alienta a todas las empresas que ejecutan Microsoft Exchange a iniciar sesión en Intrigue y verificar los hallazgos, y trabajar con empresas de seguridad para mitigar los riesgos en curso. Advierte que la mayoría de las empresas de Fortune 500 han abordado las vulnerabilidades en la infraestructura de correo principal de sus dominios principales, pero no todas.

«Las subsidiarias son un gran problema y lo seguirán siendo porque la visibilidad de estos sistemas puede ser más limitada y la responsabilidad de mantener seguras a estas organizaciones puede estar más descentralizada», dijo Crane.

Industrias verticales victimizadas

Si bien los fundadores de Intrigue se negaron a nombrar a las empresas específicas atrapadas en la violación de Microsoft Exchange, Cran publicó esta extensa lista de verticales afectadas en TechNewsWorld:

Publicidad y marketing Indumentaria Venta minorista de automóviles, servicios Químicos Banca comercial Software informático Tarjetas de crédito de consumo y servicios relacionados Entrega Finanzas diversificadas Servicios de subcontratación diversificados Energía electrónica Ingeniería, construcción Finanzas Servicios de datos Alimentos Bienes de consumo Producción de alimentos Equipos domésticos, muebles, constructores de viviendas Hoteles, casinos, complejos turísticos Seguros: Seguros de Vida y Salud: Propiedad y Accidentes (Existencias) Logística Productos y Equipos Médicos Minería, Producción de Petróleo Crudo Autopartes Empaques, Refinación de Contenedores Farmacéuticos Oleoductos Valores Minoristas Jabones y Cosméticos Telecomunicaciones Servicios Públicos: Gas Natural y Electricidad Mayoristas: Mayoristas Diversificados: Alimentos y Mayorista de comestibles: Salud

Importancia de la lista de infracciones

Intrigue ve la importancia de la violación de Microsoft Exchange de marzo de dos maneras principales.

Uno es la amplitud y la gravedad de la exposición, ya que la vulnerabilidad reside en el software que es ampliamente utilizado por casi todas las organizaciones importantes del mundo y brinda acceso a los datos y comunicaciones más confidenciales de empleados y clientes. La segunda es que las principales organizaciones todavía no están evaluando y mitigando sus propios riesgos lo suficientemente rápido.

«Como hemos visto con otras vulnerabilidades recientes (CVE-2020-0688), Exchange es un objetivo particularmente atractivo. Los desafíos de la aplicación rápida de parches son reales. Cerrar la infraestructura de correo electrónico es un ejercicio de confianza. Solo lo quiere de vuelta. Eso significa que la mayoría de las organizaciones parchean durante las ventanas de tiempo y mantenimiento. Esto, a su vez, abre más oportunidades para los atacantes», explicó Cran.

Cran observa que la tasa a la que un estado-nación desarrolla una capacidad de ataque APT de hafnio y se propaga a los actores financieros y de otro tipo es asombrosa. Advirtió que no frenaría su progreso.

«¿Por qué los atacantes innovarían si pudieran esperar y tomar la capacidad de los principales gobiernos del mundo para financiar y crear para ellos?», observó.

Si bien muchas empresas de Fortune 500 han protegido sus dominios principales del riesgo de Exchange, los dominios heredados o subsidiarios a menudo quedan expuestos. En una era de creciente integración y dependencia de TI distribuida y soluciones de terceros, las organizaciones no tienen una manera fácil de identificar, medir y abordar este riesgo heredado extendido, que puede costar tanto como una violación integral, según Crane.

Hay mucha gente que no cree en la seguridad

A Crane le preocupa que algunas empresas se resistan a tomar medidas de protección. Habiendo trabajado en seguridad de la información durante mucho tiempo, resolviendo muchos problemas diferentes con organizaciones de todos los tipos y tamaños, aún ve que algunas de las organizaciones mejor financiadas y aparentemente más capaces del planeta todavía están ciegas a las exposiciones simples en su organización.

“No es por falta de experimentación, falta de personal o falta de presupuesto asignado”, dijo.

Intrigue se propuso descubrir por qué estas organizaciones aún se encontraban encontrando vulnerabilidades a través de medios externos. Propone que su empresa haya desarrollado una solución que ahora realmente puede resolver el problema, al mismo tiempo que es lo suficientemente flexible para adaptarse a los desarrollos organizacionales y tecnológicos.

Plan para notificar a las víctimas

Cran le dijo a TechNewsWorld que su compañía hará todo lo posible para que sus hallazgos estén disponibles para cualquier organización que se encuentre comprometida. Intrigue se comunicará a través de varios CERT e ISAC en tales eventos, así como también Liga CTI y otros grupos de intercambio de información.

«Además de esto, para expandir nuestras comunicaciones salientes, consideramos necesario permitir que el equipo de seguridad inicie sesión en nuestro portal para obtener más información y compartir nuestros hallazgos al crear una cuenta», agregó.

Intrigue facilita el acceso a su información de incumplimiento. Los usuarios deben ingresar la dirección de correo electrónico de su empresa para obtener información conocida sobre su organización y compartir información sobre las vulnerabilidades actuales.

«Nuestra capacidad para aprovechar las tecnologías pasivas y activas, así como la integración con más de 250 fuentes de datos externas y herramientas de seguridad, proporciona a Intrigue una visión única no solo de los activos que existen en la red de una organización, sino también de cómo funcionan esos activos. y cómo operan. ‘Configurado. Luego mapeamos esta información de activos con nuestra base de conocimiento de amenazas para identificar y evaluar amenazas «, explicó Cran.

LEER  ¿Qué tan reparable es un Internet inseguro?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba