El FBI llevó a cabo una operación para eliminar cientos de ´shells´ maliciosos instalados en servidores debido a una vulnerabilidad reciente en Microsoft Exchange, que explotó el grupo de cibercriminales chinos Hafnium.
Según anunció en un comunicado el Departamento de Justicia de Estados Unidos, la operación ejecutada por el FBI contó con autorización judicial y logró eliminar los ´webshells´ maliciosos de “cientos de ordenadores vulnerables en Estados Unidos”.
Esta operación llega como respuesta a un fallo de seguridad en el sistema operativo para servidores Microsoft Exchange, en el que se descubrieron cuatro vulnerabilidades día cero en sus versiones de entre los años 2016 y 2019 a principios de marzo. Los cibercriminales del grupo chino Hafnium emplearon esta brecha para llevar a cabo varios ataques entre enero y febrero.
Aunque Microsoft lanzó hace más de un mes un parche de seguridad que solucionaba los problemas y también una herramienta de un solo clic para administradores, a finales de marzo un 8% de las direcciones IP vulnerables aún no se habían actualizado.
Por ello, la operación del FBI se centró en los servidores vulnerables y desactualizados en los que los cibercriminales habían instalado ´webshells´ maliciosas, un elemento que les permite controlar los sistemas de forma remota e incluso acceder a funciones restringidas.
Para eliminar los elementos maliciosos, el FBI ejecutó un comando a través de los ´shells´ en los servidores afectados, diseñados para que estos los eliminasen. El sistema identificaba los ´shells´ por su ruta única de archivo, que en todos los casos era distinta, lo que, según el FBI, “habría hecho más difícil de detectar y eliminar para los propietarios de los servidores que otros ´shells´”.
La agencia estadounidense está procediendo actualmente a avisar a los administradores de los servidores parcheados sobre la operación y recomendó a los usuarios instalar las actualizaciones de seguridad de Microsoft Exchange.
Fuente: DPA