Es posible que hayas atribuido la falta de correos en tu Bandeja de Entrada a las fechas festivas en que nos encontramos, pero si tu servidor de e-mail funciona con Microsoft Exchange (como será el caso de muchas cuentas de correo corporativas), probablemente la explicación radica en que estás siendo víctima de un extraño bug por el cambio de año.

Según ha reconocido Microsoft, el motor antispam y antimalware de MS Exchange (FIP-FS, activado por defecto en las instalaciones de dicha plataforma desde su versión 2013) sufre un error al procesar la fecha desde la medianoche de ayer, por lo que millones de correos electrónicos se están quedando paralizados en los servidores, sin remitir a sus destinatarios.

Joseph Roosen, investigador de ciberseguridad —además de administrador de MS Exchange— afirmó que este problema se debe a que los desarrolladores de Microsoft decidieron almacenar en su momento el valor de la fecha en una variable int32 cuyo valor máximo es 2.147.483.647…

…y, sin embargo, lo hicieron de tal forma que la menor de las fechas correspondientes a este año tenía que ocupar un valor mínimo de '2.201.010.001' (es decir, utilizando las tres últimas cifras para almacenar el día y las tres anteriores para el mes).

En Xataka

Yo trabajé el 31 de diciembre de 1999 a las 23.59

Una extraña decisión que provoca que ahora el motor FIP-FS no sea capaz de comprender la fecha de los emails.

Posibles soluciones al problema

Microsoft ha confirmado que ya se encuentra trabajando en un parche que solucione este problema en las versiones 2016 y 2019 de Microsoft Exchange, a la que no ha puesto fecha de lanzamiento por ahora. Según ha explicado Microsoft,

"Nuestros ingenieros estuvieron trabajando día y noche en una solución que eliminase la necesidad de una acción por parte del cliente, pero determinamos que cualquier parche que no implicara dicha requeriría varios días para desarrollarse e implementarse. De modo que estamos trabajando en otra actualización, cuya validación ya se encuentra en su fase de prueba final".

Sin embargo, las empresas que retornan mañana al trabajo y necesitan poder enviar y recibir sus emails deberán recurrir a la desactivación temporal del motor FIP-FS. Esta solución (que no debe tomarse a la ligera por el peligro de que empiecen a llegar emails maliciosos a los usuarios) es, por fortuna, sencilla de implementar.

Basta con ejecutar los siguientes comandos de PowerShell en Exchange Server:

Set-MalwareFilteringServer -Identity -BypassFiltering $true

Restart-Service MSExchangeTransport

Y, tras el reinicio del servicio MSExchangeTransport, el correo volverá a reenviarse a los usuarios. Esperemos que no haya nuevos sustos de Año Nuevo a corto plazo… al menos no antes de que toque hacer frente al Efecto 2038.

Apenas cinco minutos después de que Microsoft hiciera público el pasado mes de marzo un problema de seguridad entre sus sistema Exchange Server, un informe ha podido comprobar que un nutrido grupo de ciberdelincuentes consiguieron "escanear" la situación para llegar a conocer posibles objetivos.

El informe “2021 Cortex Xpanse Attack Surface Threat Report” de Palo Alto Networks, analizó diversas amenazas entre enero y marzo de este año y así pudo comprobar el gran interés que levantó entre los ciberdelincuentes el error de la firma de Redmond.

Hay que recordar que en marzo se hizo público un ataque a Microsoft Exchange Server. Según las informaciones, un grupo de hackers de China, Hafnium, estaba atacando servidores en diferentes países del mundo a través de este software de la marca de Redmond. Afecta a Exchange Server entre sus versiones 2013 a 2019. Unos días después, Microsoft lanzó públicamente el parche.

El interés en las vulnerabilidades en software ampliamente adoptado

Según los investigadores de Palo Alto, cuando se hacen públicas vulnerabilidades críticas de un software ampliamente adoptado, se puede desencadenar una carrera entre atacantes y administradores de TI. Los primeros para encontrar objetivos adecuados, "especialmente cuando el código de prueba de concepto (PoC) está disponible o el error parece fácil de explotar". Y, por su parte, y el personal de TI para realizar evaluaciones de riesgo e implementar los parches necesarios.

En Genbeta

Ya puedes actualizar tu Windows 10 tras el 'martes de parches' que solventa nada menos que 114 vulnerabilidades

El informe señala que, en particular, cuando hablamos de vulnerabilidades de día cero o zero-day se registra de media que tan solo 15 minutos después de conocerse el problema, hay atacantes que ya cuentan con un escaneo general de cómo está la situación.

Sin embargo, los investigadores de Palo Alto afirman que los atacantes "trabajaron más rápido" al tratarse de Microsoft Exchange, y los escaneos se lograron en apenas cinco minutos.

Un ataque que sigue dando que hablar

En marzo Microsoft alertó de que hackers de China aprovecharon un fallo en su sistema Exchange Server, destinado a empresas, para poder acceder a sus mails, a listas de contactos y que también pudieron instalar malware.

Según informaciones aportadas por Microsoft, Hafnium se dirige principalmente a entidades de Estados Unidos (pero también de otros países) con el fin de acceder a información de diversos sectores industriales, como investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de enseñanza superior, contratistas de defensa, grupos de reflexión política y ONG.

Aunque Hafnium tiene su sede en China, lleva a cabo sus operaciones principalmente desde servidores virtuales privados (VPS) alquilados en Estados Unidos. Hace unos días, Cisco Talos descubrió que hay un ataque que podría estar aprovechándose de las debilidades de Windows Exchange Server desde el pasado mes de abril.

Lemon Duck, que es un botnet que ya había sido descubierto en el mes de marzo aprovechándose de servidores vulnerables y utilizando estos sistemas para minar criptomonedas (técnica conocida también como cryptojacking).

Microsoft ha anunciado el lanzamiento de una herramienta de mitigación local para Microsoft Exchange Server de un solo click, lo que se traduce a que las empresas que usen los servicios de Exchange pueden instalar las actualizaciones lanzadas por la empresa “en un solo click”. De este modo, los administradores de TI en entornos empresariales pueden usar los nuevos parches de seguridad de la firma de Redmond con una instalación sencilla a todos los equipos de la entidad. No es una solución final, sino una forma de mitigar el posible impacto de este ataque mientras se aplica la actualización con los parches.

Hay que recordar que a comienzos de este mes se hizo público un ataque a Microsoft Exchange Server. Según las informaciones, un grupo de hackers de China, Hafnium, estaba atacando servidores en diferentes países del mundo a través de este software de la marca de Redmond. Afecta a Exchange Server entre sus versiones 2013 a 2019.

Sirve para mitigar el riesgo de exploits hasta que lleguen los parches

Ya en ese momento, la compañía presentó parches de seguridad para corregir el problema, pero el ataque pudo seguir actuando. La nueva herramienta, dice ZDnet, está diseñada para mitigar la amenaza que suponen cuatro vulnerabilidades activamente explotadas. La empresa de Redmond estima que al menos 82.000 servidores siguen sin parchear y son vulnerables a los ataques.

La empresa publicó previamente un script en GitHub que los administradores podían ejecutar para ver si sus servidores contenían indicadores de compromiso (IOC) vinculados a las vulnerabilidades. Sin embargo, después de analizar la situación con clientes y socios, Microsoft dijo que era necesaria una solución sencilla y automatizada para clientes que usen tanto las versiones actuales como las que están fuera de soporte de Exchange Server on-premise. La herramienta de mitigación de Microsoft Exchange On-Premises ha sido probada en Exchange Server 2013, 2016 y 2019.

En Xataka

¿Cuál es la diferencia: malware, virus, gusanos, spyware, troyanos, ransomware, etcétera?

Es importante tener en cuenta que la herramienta no es una alternativa a la aplicación de parches, sino que debe considerarse un medio para mitigar el riesgo de exploits hasta que se aplique la actualización, lo que debe hacerse lo antes posible. "Esta herramienta no sustituye a la actualización de seguridad de Exchange, sino que es la forma más rápida y sencilla de mitigar los mayores riesgos para los servidores Exchange locales conectados a Internet antes de aplicar los parches", afirma Microsoft.

Un ataque de comienzos de marzo que sigue dando problemas

A comienzos de este mes, la empresa había alertado de que hackers de China aprovecharon un fallo en su sistema de mensajería Exchange Server, destinado a empresas, para poder acceder a sus mails, a listas de contactos y que también pudieron instalar malware.

Según informaciones aportadas por Microsoft, Hafnium se dirige principalmente a entidades de Estados Unidos (pero también de otros países) con el fin de acceder a información de diversos sectores industriales, como investigadores de enfermedades infecciosas, bufetes de abogados, instituciones de enseñanza superior, contratistas de defensa, grupos de reflexión política y ONG. Aunque Hafnium tiene su sede en China, lleva a cabo sus operaciones principalmente desde servidores virtuales privados (VPS) alquilados en Estados Unidos.

Los ataques incluyen tres pasos. En primer lugar, accede a un servidor Exchange con contraseñas robadas o utilizando las vulnerabilidades no descubiertas previamente para disfrazarse de alguien que debería tener acceso. En segundo lugar, crea lo que se llama una shell web para controlar el servidor comprometido de forma remota. En tercer lugar, utilizaría ese acceso remoto ejecutado desde los servidores privados con sede en Estados Unidos, para robar datos de la red de una organización.

Google Sync, la aplicación de sincronización entre los servicios web de Google y casi cualquier teléfono móvil, acaba de incluir una funcionalidad muy interesante: push para el correo de Gmail, calendarios de Calendar y los contactos de Google Contacts. Para implementarlo han compatibilizado sus servidores con Microsoft Exchange, así que cualquier móvil con soporte para esta tecnología será capaz de tener push de Gmail, a saber: todos los terminales con Windows Mobile y iPhone/iPod Touch.

¿En qué consiste dicho push? Simplemente, se mantiene una conexión abierta entre el móvil y el servidor, de tal forma que los correos son notificados segundos prácticamente cuando te lleguen. Hasta ahora, la única alternativa con Gmail era comprobar el servidor cada X minutos, perdiendo esa rapidez de respuesta. Por supuesto, esto tiene un precio: al mantener una conexión la batería del móvil se acabará mucho más rápido que antes. Este problema hace prácticamente inviable el uso de Push, salvo que quieras cargar tu móvil 3 veces al día.

Vía | Xataka Móvil
Enlace | Google Sync