Una vez, la gente razonable que se preocupaban por la seguridad, la privacidad y la confiabilidad manejaban sus propios servidores de correo electrónico. Hoy en día, la gran mayoría aloja su correo electrónico personal en la nube, transfiriendo esa carga sustancial a los equipos de seguridad e ingeniería competentes de empresas como Google y Microsoft. Ahora, los expertos en seguridad cibernética argumentan que se espera un cambio similar, o hace mucho tiempo, para las redes corporativas y gubernamentales. Para las empresas que usan Microsoft Exchange en las instalaciones, y que aún ejecutan su propia máquina de correo electrónico en algún lugar de un armario o centro de datos, ha llegado el momento de pasar a un servicio en la nube, aunque solo sea para evitar la plaga de errores de años en los servidores de Exchange que ha hecho que sea casi imposible mantener alejados a los piratas informáticos determinados.
El último recordatorio de esa lucha llegó a principios de esta semana, cuando el investigador de seguridad taiwanés Orange Tsai publicó una publicación de blog que presenta los detalles de una vulnerabilidad de seguridad en Microsoft Exchange. Tsai advirtió a Microsoft sobre esta vulnerabilidad ya en junio de 2021, y aunque la empresa respondió lanzando algunas correcciones parciales, Microsoft tardó 14 meses en resolver por completo el problema de seguridad subyacente. Tsai había informado anteriormente de una vulnerabilidad relacionada en Exchange que fue explotada masivamente por piratas informáticos patrocinados por el estado chino conocidos como Hafnium, quienes el año pasado penetraron en más de 30,000 objetivos, según algunos recuentos. Sin embargo, de acuerdo con el cronograma descrito en la publicación de Tsai esta semana, Microsoft retrasó repetidamente la corrección de la nueva variación de esa misma vulnerabilidad, asegurando a Tsai no menos de cuatro veces que corregiría el error antes de lanzar un parche completo durante meses más. Cuando Microsoft finalmente lanzó una solución, escribió Tsai, aún requería activación manual y carecía de documentación durante cuatro meses más.
Mientras tanto, otro par de vulnerabilidades explotadas activamente en Exchange que se revelaron el mes pasado siguen sin parchear después de que los investigadores demostraran que los intentos iniciales de Microsoft para corregir las fallas habían fallado. Esas vulnerabilidades fueron solo las últimas en un patrón de años de errores de seguridad en el código de Exchange. E incluso cuando Microsoft lanza parches de Exchange, a menudo no se implementan ampliamente, debido al proceso técnico que requiere mucho tiempo para instalarlos.
El resultado de esos problemas agravantes, para muchos que han visto acumularse los dolores de cabeza inducidos por piratas informáticos al ejecutar un servidor Exchange, es un mensaje bastante claro: un servidor Exchange es, en sí mismo, una vulnerabilidad de seguridad, y la solución es deshacerse de él. eso.
“Tienes que salir de Exchange en las instalaciones para siempre. Ese es el resultado final”, dice Dustin Childs, jefe de concientización sobre amenazas en Zero Day Initiative (ZDI) de la firma de seguridad Trend Micro, que paga a los investigadores por encontrar y reportar vulnerabilidades en software de uso común y ejecuta la competencia de piratería informática Pwn2Own. “No está recibiendo el soporte, en lo que respecta a las correcciones de seguridad, que esperaría de un componente realmente crítico de su infraestructura”.
Además de las múltiples vulnerabilidades expuestas por Orange Tsai y los dos errores no parcheados que se explotaron activamente y que se revelaron el mes pasado, Childs señala otras 20 fallas de seguridad en Exchange que un investigador informó a ZDI, que ZDI, a su vez, informó a Microsoft hace dos semanas, y que permanecer sin parchear. “En este momento, Exchange tiene una superficie de ataque muy amplia, y simplemente no ha tenido mucho trabajo realmente completo en años desde una perspectiva de seguridad”, dice Childs.