Empresas australianas expuestas en el hack de Microsoft Outlook

“Si el shell web se colocara allí antes de que se parcheara un dispositivo y luego se aplicara el parche, el archivo seguiría existiendo y aún podría usarse. El parche solo prohíbe que se vuelva a utilizar la vulnerabilidad inicial «. Dijo el Sr. Gangwer.

Cargando

“La naturaleza de este último ataque fue infectar tantos dispositivos como fuera posible antes de que las organizaciones se pusieran al día con el parche. Hemos observado este impacto en organizaciones en muchas regiones diferentes. No hay razón para creer que Australia se haya visto afectada menos que otros países «.

Microsoft tiene software producido que los administradores pueden utilizar para comprobar sus máquinas y localizar cualquier shell web. Gangwer dijo que encontrar y eliminar estos caparazones web debería ser el siguiente paso para las empresas afectadas, pero que también necesitarían ojos humanos para evaluar cualquier daño.

“Cada organización debe comenzar a buscar para ver si se vieron afectados por un shell web, lo que se puede determinar mediante la revisión de registros. Si se descubre un shell web, es necesario evaluar si se obtuvo más acceso ”, dijo.

«[Web shells allow attackers] para emitir cualquier comando que el atacante desee en el dispositivo de la víctima. Es por eso que representan un riesgo tan grande porque le da al atacante acceso a un sistema muy importante y crítico «.

Cargando

Chris Krebs, ex director de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., dijo en Twitter que si su organización tiene un servidor Exchange conectado a Internet, debe asumir que se vio comprometido en las últimas semanas.

Estas vulnerabilidades fueron explotadas originalmente por HAFNIUM a fines del año pasado, que fue descubierto por un investigador y reportado a Microsoft en enero. Después de una serie de nuevos ataques el mes pasado, el gobierno de EE. UU. Dijo a los periodistas que estaba preocupado de que los nuevos jugadores tuvieran las hazañas y que hubiera una gran cantidad de víctimas.

«Un par de cientos de tipos los están explotando lo más rápido que pueden», robando datos e instalando otras formas de regresar más tarde, dijo una fuente anónima que había trabajado con el gobierno de EE. UU. dijo a Reuters.