Las empresas Fortune 500 afectadas por una violación de MS Exchange tal vez aún no lo sepan

 Es posible que muchas empresas de Fortune 500 no sepan que sus redes están comprometidas después de la violación de Microsoft Exchange

Jonathan Cran, fundador y director ejecutivo de Intrigue una empresa de ciberseguridad con sede en Austin, Texas, utilizó la red de su empresa herramientas de seguridad para compilar una lista de las empresas Fortune 500 que aún están expuestas a la violación de Microsoft Exchange del mes pasado . Potencialmente, muchas de esas empresas pueden no saber que sus redes están comprometidas.

Las herramientas de Intrigue descubrieron la extensa infiltración de una brecha exitosa por parte de una unidad de ciberespionaje china el mes pasado. Intrigue compiló una lista de compañías Fortune 500 aún expuestas a la violación de Microsoft Exchange, sin embargo, Cran se negó a revelar los nombres en esa lista debido a preocupaciones legales.

La violación de Microsoft Exchange se centró en robar correo electrónico de unas 30.000 organizaciones al explotar cuatro nuevos -Defectos descubiertos en el software de correo electrónico de Microsoft Exchange Server. Ese ataque sembró cientos de miles de organizaciones víctimas en todo el mundo con herramientas que les dan a los atacantes un control remoto total sobre los sistemas afectados, según informes publicados.

Víctimas de violación de Fortune 500

El monitoreo de la red de Intrigue descubrió 120 exposiciones entre las empresas de Fortune 500. Un total de 62 organizaciones individuales se vieron afectadas y 23 organizaciones tenían múltiples sistemas independientes expuestos. Se descubrió que una empresa de servicios profesionales tenía más de 25 sistemas independientes expuestos, señaló Cran.

En términos de la amplitud de esta exposición, Intrigue descubrió que las organizaciones Fortune 500 se vieron afectadas dentro de una amplia gama de verticales. La exposición no se limitó a segmentos específicos de la industria, sino que se extendió a todos los tipos de empresas, dijo.

"Estas son exposiciones conocidas descubiertas a través de una metodología principalmente pasiva. Descubrimos que cuando nuestros clientes interactúan directamente con nosotros para mapear sus superficie de ataque, la cantidad de activos conocidos se duplica o triplica fácilmente en función de que brinden más información y semillas, por lo que esta lista de exposiciones no es completa ", dijo Cran a TechNewsWorld.

Alienta a todas las empresas que ejecutan Microsoft Exchange a iniciar sesión en Intrigue y verificar los hallazgos y trabajar con la compañía de seguridad para mitigar el riesgo en curso. La mayoría de las empresas de Fortune 500 han abordado la vulnerabilidad en su infraestructura de correo principal para sus dominios principales, pero no todos, advirtió.

"Las subsidiarias son un gran problema y lo seguirán siendo, ya que la visibilidad de estos sistemas puede ser más limitada, y la responsabilidad de garantizar la seguridad de estas organizaciones puede estar más dispersa ", dijo Cran.

Verticales víctimas de incumplimiento

Aunque el fundador de Intrigue se negó a identificar empresas específicas atrapadas en el incumplimiento de Microsoft Exchange, Cran envió esta extensa lista de industrias verticales afectadas a TechNewsWorld:

Publicidad y marketing
Ropa
Venta al por menor de automóviles, servicios
Productos químicos
Bancos comerciales
Programas informáticos
Tarjetas de crédito al consumidor y servicios relacionados
Entrega
Finanzas diversificadas
Servicios de subcontratación diversificada
Electrónica
Energía
Ingeniería, construcción
Servicios de datos financieros
Productos de consumo alimentario
Producción de alimentos
Comerciantes generales
Equipamiento para el hogar, mobiliario
Constructores de viviendas
Hoteles, casinos, centros turísticos
Seguros: vida y salud
Seguros: propiedad y accidentes (existencias)
Logística
Productos y equipos médicos ent
Minería, producción de petróleo crudo
Piezas de vehículos de motor
Envases, contenedores
Refinación de petróleo
Productos farmacéuticos
Tuberías
Venta al por menor
Valores
Jabones y cosméticos
Telecomunicaciones
Servicios públicos: gas y electricidad
Mayoristas: diversificados
Mayoristas: alimentos y abarrotes
Mayoristas: atención médica

Importancia de la lista de incumplimiento

Intriga considera la importancia de la marcha Incumplimiento de Microsoft Exchange de dos vectores principales.

Uno es la amplitud y gravedad de la exposición, ya que la vulnerabilidad existe en el software que es utilizado ampliamente por casi todas las organizaciones importantes en todo el mundo y permite el acceso a los datos más confidenciales de empleados y clientes y comunicaciones. El segundo es la continua falta de velocidad con la que las principales organizaciones pueden evaluar su propia exposición y mitigar el riesgo.

"Como vimos con otras vulnerabilidades recientes (CVE-2020-0688), Exchange es un objetivo particularmente atractivo. El desafío de aplicar parches rápidamente es real. Eliminar la infraestructura de correo electrónico es un ejercicio de fe. Solo espera que vuelva a funcionar. Esto significa que la mayoría de las organizaciones se desconectan durante las horas de trabajo y durante un período de mantenimiento. explicó Cran.

La velocidad con la que un estado-nación desarrolló la capacidad de ataque APT de Hafnio y se extendió a los actores financieros y de otro tipo fue sorprendente, observó Cran. No se ralentizará en el futuro, advirtió.

"¿Por qué los atacantes innovarían si pueden esperar y actuar con una capacidad que los principales gobiernos del mundo financiaron y crearon para ellos?"

Si bien muchas de las empresas de Fortune 500 han asegurado sus dominios principales del riesgo de Exchange, a menudo las subsidiarias o los dominios heredados quedan expuestos. En una era de creciente integración y dependencia de TI distribuida y soluciones de terceros, no existe una manera fácil para que una organización identifique, mida y resuelva esta exposición heredada extendida, que puede causar tanta pérdida como una incumplimiento, según Cran.

Existen muchos no creyentes en materia de seguridad

A Cran le preocupa la resistencia de algunas empresas a tomar medidas de protección. Después de haber trabajado en seguridad de la información durante mucho tiempo en muchos problemas diferentes con organizaciones de todos los tipos y tamaños, todavía ve algunas de las organizaciones mejor financiadas y aparentemente más capaces del planeta en un escenario en el que todavía están ciegos a exposiciones simples. en su organización.

"No es por falta de intentos, falta de personas o falta de presupuesto asignado", dijo.

Intrigue se propuso averiguar por qué estas organizaciones aún se encuentran descubriendo infracciones por medios externos. Su compañía desarrolló una solución que realmente podría resolver este problema ahora y al mismo tiempo ser lo suficientemente flexible para adaptarse a medida que evolucionan las organizaciones y la tecnología, ofreció.

Planes para notificar a las víctimas

Cran le dijo a TechNewsWorld que su compañía intentará todos los medios posibles para poner sus hallazgos a disposición de cualquier organización que se encuentre comprometida. Intrigue trabajará a través de varios CERT e ISAC para compartir información durante eventos como este, así como organizaciones como la Liga CTI y otros grupos de intercambio de información.

"Además de esto, para escalar nuestro comunicación saliente, descubrimos que era necesario permitir que los equipos de seguridad se registren por sí mismos en nuestro portal para obtener información adicional y compartir nuestros hallazgos al crear la cuenta ", agregó.

Intrigue ha simplificado el acceso a su información de violación. Los usuarios deben ingresar la dirección de correo electrónico de su empresa para obtener información conocida sobre su organización y compartir información sobre las vulnerabilidades actuales.

"Nuestra capacidad para aprovechar las técnicas pasivas y activas, junto con nuestra integración con más de 250 fuentes de datos externas y herramientas de seguridad, brinda Intriga con una visión única no solo de los activos que existen dentro de la red de una organización, sino también de qué activos están funcionando y cómo están configurados. Luego, asignamos esa información de activos a nuestra base de conocimientos de amenazas para identificar y evaluar las amenazas ", explicó Cran. .


Leave a Reply

Your email address will not be published. Required fields are marked *