Las empresas Fortune 500 afectadas por una violación de MS Exchange tal vez aún no lo sepan | La seguridad cibernética


Por Jack M. Germain

13 de abril de 2021 9:45 a.m.PT

Jonathan Cran, fundador y director ejecutivo de Intriga, una startup de ciberseguridad con sede en Austin, Texas, utilizó las herramientas de seguridad de red de su empresa para compilar una lista de las empresas Fortune 500 que aún están expuestas a las Violación de Microsoft Exchange. Es posible que muchas de esas empresas no sepan que sus redes están comprometidas.

Las herramientas de Intrigue descubrieron la extensa infiltración de una brecha exitosa por parte de una unidad de ciberespionaje china el mes pasado. Intrigue compiló una lista de compañías Fortune 500 que aún están expuestas a la violación de Microsoft Exchange, sin embargo, Cran se negó a revelar los nombres en esa lista debido a preocupaciones legales.

La violación de Microsoft Exchange se centró en robar correo electrónico de unas 30.000 organizaciones mediante la explotación de cuatro fallas recién descubiertas en el software de correo electrónico Microsoft Exchange Server. Ese ataque sembró cientos de miles de organizaciones víctimas en todo el mundo con herramientas que les dan a los atacantes un control remoto total sobre los sistemas afectados, según informes publicados.

Víctimas de infracciones de Fortune 500

El monitoreo de la red de Intrigue descubrió 120 exposiciones entre las compañías Fortune 500. Un total de 62 organizaciones individuales se vieron afectadas y 23 organizaciones tenían múltiples sistemas independientes expuestos. Se descubrió que una empresa de servicios profesionales tenía más de 25 sistemas independientes expuestos, señaló Cran.

En términos de la amplitud de esta exposición, Intrigue descubrió que las organizaciones Fortune 500 se vieron afectadas dentro de una amplia gama de verticales. La exposición no se limitó a segmentos específicos de la industria, sino que se extendió a todos los tipos de empresas, dijo.

“Estas son exposiciones conocidas descubiertas a través de una metodología principalmente pasiva. Descubrimos que cuando nuestros clientes interactúan directamente con nosotros para mapear su superficie de ataque, la cantidad de activos conocidos se duplica o triplica fácilmente en función de que brinden más información y semillas, por lo que esta lista de exposiciones no es exhaustiva “, dijo Cran a TechNewsWorld.

Él alienta a todas las empresas que ejecutan Microsoft Exchange a iniciar sesión en Intrigue y verificar los hallazgos y trabajar con la empresa de seguridad para mitigar el riesgo en curso. La mayoría de las empresas de Fortune 500 han abordado la vulnerabilidad en su infraestructura de correo principal para sus dominios principales, pero no todas, advirtió.

“Las subsidiarias son un gran problema y lo seguirán siendo, ya que la visibilidad de estos sistemas puede ser más limitada y la responsabilidad de garantizar la seguridad de estas organizaciones puede estar más dispersa”, dijo Cran.

Verticales Victimizadas por Incumplimiento

Aunque el fundador de Intrigue se negó a identificar empresas específicas atrapadas en la infracción de Microsoft Exchange, Cran emitió esta extensa lista de industrias verticales afectadas a TechNewsWorld:

Publicidad y Marketing
Vestir
Venta al por menor de automóviles, Servicios
Productos quimicos
Bancos comerciales
Software de ordenador
Tarjeta de crédito del consumidor y servicios relacionados
Entrega
Finanzas diversificadas
Servicios de subcontratación diversificados
Electrónica
Energía
Ingeniería, Construcción
Servicios de datos financieros
Productos de consumo alimentario
La producción de alimentos
Comerciantes generales
Equipamiento para el hogar, Mobiliario
Constructores de casas
Hoteles, Casinos, Resorts
Seguro: vida y salud
Seguro: propiedad y accidentes (acciones)
Logística
Productos y equipos médicos
Minería, producción de petróleo crudo
Piezas de vehículos de motor
Envases, Contenedores
Refinación del petróleo
Productos farmacéuticos
Oleoductos
Venta minorista
Valores
Jabones y Cosméticos
Telecomunicaciones
Servicios públicos: gas y electricidad
Mayoristas: Diversificado
Mayoristas: Alimentos y abarrotes
Mayoristas: Cuidado de la salud

Importancia de la lista de incumplimiento

Intrigue ve la importancia de la violación de Microsoft Exchange de marzo desde dos vectores principales.

Una es la amplitud y la gravedad de la exposición, ya que la vulnerabilidad existe en el software que casi todas las organizaciones importantes del mundo utilizan ampliamente y permite el acceso a los datos y comunicaciones más confidenciales de los empleados y clientes. El segundo es la continua falta de velocidad con la que las principales organizaciones pueden evaluar su propia exposición y mitigar el riesgo.

“Como vimos con otras vulnerabilidades recientes (CVE-2020-0688), Exchange es un objetivo particularmente atractivo. El desafío de parchear rápidamente es real. Eliminar la infraestructura de correo electrónico es un ejercicio de fe. Solo espera que vuelva a funcionar. Esto significa que la mayoría de las organizaciones cierran el horario y durante una ventana de mantenimiento. Esto, a su vez, ofrece más oportunidades a los atacantes “, explicó Cran.

La velocidad con la que un estado-nación desarrolló la capacidad de ataque de Hafnium APT y se extendió a los actores financieros y de otro tipo fue sorprendente, observó Cran. No se ralentizará en el futuro, advirtió.

“¿Por qué innovarían los atacantes si pueden esperar y actuar con una capacidad que los principales gobiernos del mundo financiaron y crearon para ellos?” observó.

Si bien muchas de las empresas de Fortune 500 han asegurado sus dominios principales del riesgo de Exchange, a menudo las subsidiarias o los dominios heredados quedan expuestos. En una era de creciente integración y dependencia de TI distribuida y soluciones de terceros, no existe una manera fácil para que una organización identifique, mida y resuelva esta exposición heredada extendida, que puede causar tanta pérdida como una incumplimiento, según Cran.

Existen muchos no creyentes de seguridad

A Cran le preocupa la resistencia de algunas empresas a tomar medidas de protección. Después de haber trabajado en seguridad de la información durante mucho tiempo en muchos problemas diferentes con organizaciones de todos los tipos y tamaños, todavía ve algunas de las organizaciones mejor financiadas y aparentemente más capaces del planeta en un escenario en el que todavía están ciegos a exposiciones simples. en su organización.

“No es por falta de intentos, falta de gente o falta de presupuesto asignado”, dijo.

Intrigue se propuso descubrir por qué estas organizaciones aún se encuentran descubriendo brechas a través de medios externos. Su compañía desarrolló una solución que realmente podría resolver este problema ahora y al mismo tiempo ser lo suficientemente flexible para adaptarse a medida que evolucionan las organizaciones y la tecnología, ofreció.

Planes para notificar a las víctimas

Cran le dijo a TechNewsWorld que su compañía intentará todos los medios posibles para que sus hallazgos estén disponibles para cualquier organización que se encuentre comprometida. Intrigue trabajará a través de varios CERT e ISAC para compartir información durante eventos como este, así como organizaciones como la Liga CTI y otros grupos de intercambio de información.

“Además de esto, para escalar nuestra comunicación saliente, descubrimos que era necesario permitir que los equipos de seguridad se registren por sí mismos en nuestro portal para obtener información adicional y compartir nuestros hallazgos al crear la cuenta”, agregó.

Intrigue ha facilitado el acceso a su información de violación. Los usuarios deben ingresar la dirección de correo electrónico de su empresa para obtener información conocida sobre su organización y compartir información sobre las vulnerabilidades actuales.

“Nuestra capacidad para aprovechar las técnicas pasivas y activas, junto con nuestra integración a más de 250 fuentes de datos externas y herramientas de seguridad, proporciona a Intrigue una visión única no solo de los activos que existen dentro de la red de una organización, sino también de qué activos están funcionando y cómo funcionan. Están configurados. Luego, mapeamos la información de los activos con nuestra base de conocimientos de amenazas para identificar y evaluar las amenazas “, explicó Cran.


Jack M. Germain ha sido reportero de ECT News Network desde 2003. Sus principales áreas de enfoque son TI empresarial, Linux y tecnologías de código abierto. Es un crítico estimado de distribuciones de Linux y otro software de código abierto. Además, Jack cubre ampliamente la tecnología empresarial y los problemas de privacidad, así como los desarrollos en el comercio electrónico y la electrónica de consumo. Envíe un correo electrónico a Jack.

.



Source link