La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Agencia de Seguridad Nacional (NSA), junto con socios internacionales en Australia y Canadá, han publicado una guía para proteger las instancias locales de Microsoft Exchange Server contra posibles abusos.
«Al restringir el acceso administrativo, implementar la autenticación multifactor, imponer estrictas configuraciones de seguridad en el transporte y adoptar principios del modelo de seguridad Zero Trust (ZT), las organizaciones pueden fortalecer significativamente sus defensas contra posibles ciberataques», afirmó CISA.
Las agencias dijeron que continúa ocurriendo actividad maliciosa dirigida a Microsoft Exchange Server, y que las instancias desprotegidas y mal configuradas enfrentan la peor parte del ataque. Recomendamos que las organizaciones retiren los servidores Exchange locales o híbridos que ya no son compatibles después de migrar a Microsoft 365.
Algunas de las mejores prácticas que se describen a continuación son:
Mantener la frecuencia de las actualizaciones y parches de seguridad Migrar servidores Exchange al final del soporte Garantizar que el Servicio de mitigación de emergencia de Exchange esté habilitado Aplicar y mantener las líneas base de Exchange Server, las líneas base de seguridad de Windows y las líneas base de seguridad de los clientes de correo electrónico aplicables Soluciones antivirus, interfaz de escaneo antimalware (AMSI) de Windows, reducción de la superficie de ataque (ASR) y AppLocker y App Control for Business, detección y respuesta de endpoints, Exchange Server Habilitar funciones antispam y antimalware en el Centro de administración de Exchange (EAC) y de forma remota PowerShell para restringir el acceso administrativo, aplicar el principio de privilegio mínimo y fortalecer la autenticación y el cifrado configurando Transport Layer Security (TLS), HTTP Strict Transport Security (HSTS), Extended Protection (EP), Kerberos y Server Message Block (SMB) en lugar de NTLM y autenticación multifactor. Deshabilite el acceso remoto a PowerShell para los usuarios en Exchange Management Shell (EMS).
«Garantizar la seguridad de los servidores Exchange es esencial para mantener la integridad y confidencialidad de las comunicaciones y funciones corporativas», señala la agencia. «Evaluar y fortalecer continuamente la postura de seguridad cibernética de estos servidores de comunicaciones es fundamental para mantenerse a la vanguardia de las amenazas cibernéticas en evolución y proteger de manera sólida Exchange como parte central de las operaciones de muchas organizaciones».
Alerta de actualización CISA CVE-2025-59287
Esta guía llega un día después de que CISA actualizara su alerta para incluir información adicional relacionada con CVE-2025-59287, una falla de seguridad recientemente parcheada en el componente Windows Server Update Services (WSUS) que podría conducir a la ejecución remota de código.
La agencia recomienda que las organizaciones identifiquen servidores que sean susceptibles de explotación, apliquen actualizaciones de seguridad fuera de banda publicadas por Microsoft e investiguen signos de actividad de amenazas en sus redes.
Supervise y examine las actividades sospechosas y los procesos secundarios generados con permisos de nivel de SISTEMA, especialmente aquellos de wsusservice.exe y w3wp.exe. Supervise y analice procesos de PowerShell anidados mediante comandos de PowerShell codificados en Base64.
Este desarrollo sigue a un informe de Sophos de que los actores de amenazas están explotando esta vulnerabilidad para recopilar datos confidenciales de organizaciones estadounidenses en una variedad de industrias, incluidas universidades, tecnología, manufactura y atención médica. Esta actividad de explotación se detectó por primera vez el 24 de octubre de 2025, el día después de que Microsoft publicara una actualización.
En estos ataques, se descubrió que los atacantes aprovechaban servidores Windows WSUS vulnerables para ejecutar comandos PowerShell codificados en Base64 y exfiltrar los resultados a los puntos finales del sitio Webhook(.), corroborando otros informes de Darktrace, Huntress y Palo Alto Networks Unit 42.
La empresa de ciberseguridad le dijo a Hacker News que hasta ahora ha identificado seis incidentes en entornos de clientes, pero una investigación más profunda ha confirmado que hay al menos 50 víctimas.
«Esta actividad muestra que los atacantes actuaron rápidamente para explotar esta vulnerabilidad crítica en WSUS y recopilar datos valiosos de organizaciones vulnerables», dijo a Hacker News Rafe Pilling, director de inteligencia de amenazas de Sophos Counter Threat Unit, en un comunicado.
«Esta es una fase temprana de prueba o reconocimiento, y los atacantes pueden estar analizando los datos que han recopilado actualmente para identificar nuevas oportunidades de compromiso. Si bien no vemos ninguna explotación masiva adicional en este momento, aún es temprano y los defensores deben tratar esto como una advertencia temprana. Las organizaciones deben asegurarse de que sus sistemas estén completamente parcheados y que sus servidores WSUS estén configurados de forma segura para reducir el riesgo de explotación».
Michael Haag, ingeniero principal de investigación de amenazas en Splunk, propiedad de Cisco, dijo en una publicación que mencioné que descubrí una cadena de ataque alternativa que utiliza «cmd.exe» para desencadenar la ejecución de «cmd.exe».
«Esta ruta provoca una falla del registro de eventos 7053», señaló Haag, y agregó que coincide con el seguimiento de la pila encontrado por Huntress en «C:\Program Files\Update Services\Logfiles\SoftwareDistribution.log».
Source link
