### Ciberdelincuentes Inyectan Keyloggers en Servidores Microsoft Exchange Públicamente Expuestos
#### Introducción
En los últimos meses, analistas de seguridad han detectado una preocupante campaña dirigida a servidores Microsoft Exchange accesibles desde Internet. Actores de amenazas, aún no identificados, están explotando vulnerabilidades en estos sistemas para insertar código malicioso en las páginas de inicio de sesión de Outlook Web Access (OWA). El objetivo principal: capturar credenciales de acceso de los usuarios mediante sofisticados keyloggers escritos en JavaScript. Este tipo de ataque, documentado recientemente por Positive Technologies, pone de manifiesto la urgente necesidad de fortalecer las defensas en torno a infraestructuras de correo electrónico empresarial.
#### Contexto del Incidente
El análisis de Positive Technologies, publicado la pasada semana, señala un incremento significativo en la explotación de servidores Microsoft Exchange expuestos públicamente. Los atacantes están centrando sus esfuerzos en organizaciones que, por razones operativas, mantienen accesible OWA a través de Internet, un vector de ataque históricamente explotado por grupos APT y cibercriminales. Las campañas detectadas no solo buscan la obtención de credenciales, sino que también sientan las bases para ataques de mayor impacto, como la escalada de privilegios, movimientos laterales y el acceso persistente a entornos críticos.
#### Detalles Técnicos
El vector de ataque se inicia generalmente mediante el aprovechamiento de vulnerabilidades conocidas en versiones de Exchange Server, como CVE-2021-26855 (ProxyLogon) y CVE-2021-34473 (ProxyShell), ambas ampliamente explotadas en los últimos años y presentes en frameworks de explotación como Metasploit. Una vez comprometido el servidor, los atacantes modifican la página de login de OWA inyectando JavaScript malicioso.
Positive Technologies ha identificado dos variantes principales de keyloggers:
1. **Keylogger con almacenamiento local:** El script intercepta las pulsaciones de teclado e inserta los datos en un archivo local en el servidor Exchange, generalmente bajo rutas difíciles de detectar, como subdirectorios ocultos del propio IIS o Exchange.
2. **Keylogger con exfiltración remota:** En este caso, el JavaScript recopila las credenciales y las envía en tiempo real a un servidor de comando y control (C2) controlado por el atacante, utilizando solicitudes HTTP POST disfrazadas.
Los indicadores de compromiso (IoC) asociados incluyen modificaciones en los archivos `logon.aspx` o `logon.js`, peticiones sospechosas a endpoints externos y la presencia de archivos no estándar en el sistema de archivos del servidor.
En términos de TTPs (Tácticas, Técnicas y Procedimientos) según el marco MITRE ATT&CK, destacan:
– **Initial Access (T1190):** Explotación de vulnerabilidades en aplicaciones web.
– **Persistence (T1505.003):** Modificación de componentes del servidor web.
– **Credential Access (T1056.001):** Captura de pulsaciones de teclado en interfaces web.
#### Impacto y Riesgos
El compromiso de credenciales de Exchange puede llevar a consecuencias catastróficas para cualquier organización: desde la filtración de información confidencial y suplantación de identidad, hasta el despliegue de ransomware aprovechando accesos privilegiados. Según estimaciones recientes, hasta un 15% de los servidores Exchange expuestos en Europa carecen de los últimos parches de seguridad, lo que los convierte en objetivos prioritarios. Además, la reventa de credenciales de OWA en mercados clandestinos puede superar los 2.000 euros por acceso, dependiendo del perfil de la organización víctima.
El riesgo se ve incrementado bajo normativas como el GDPR y la inminente aplicación de NIS2, ya que la pérdida de datos personales o el acceso no autorizado a comunicaciones internas puede acarrear sanciones millonarias y severos daños reputacionales.
#### Medidas de Mitigación y Recomendaciones
Para mitigar esta amenaza, los especialistas recomiendan:
– Aplicar inmediatamente todos los parches de seguridad publicados por Microsoft para Exchange Server (especialmente los relativos a CVE-2021-26855 y CVE-2021-34473).
– Restringir el acceso público a OWA mediante VPN o listas blancas de direcciones IP.
– Implementar autenticación multifactor (MFA) para todos los usuarios con acceso remoto.
– Monitorizar cambios en los archivos de login de OWA y analizar peticiones salientes inusuales hacia dominios externos.
– Desplegar soluciones EDR y SIEM que permitan la detección de actividad anómala en los servidores de correo.
– Realizar auditorías periódicas de configuración y exposición de servicios críticos.
#### Opinión de Expertos
Varios expertos del sector, como Dmitry Kuznetsov (Positive Technologies) y analistas de la comunidad SANS, alertan sobre la sofisticación creciente de los ataques a Exchange. “El acceso persistente a cuentas de correo sigue siendo un vector privilegiado para el espionaje y el fraude”, señala Kuznetsov. Los profesionales advierten además que la tendencia apunta a una mayor automatización en la explotación y exfiltración de datos, lo que reduce el tiempo de detección y respuesta de los equipos SOC.
#### Implicaciones para Empresas y Usuarios
Las empresas que dependen de Exchange para la gestión del correo corporativo deben reforzar urgentemente su postura defensiva. La frecuencia e impacto de estos ataques reflejan la necesidad de adoptar un enfoque Zero Trust y revisar de manera proactiva la seguridad de los servicios expuestos. Para los usuarios, la alerta reside en vigilar accesos sospechosos y no reutilizar contraseñas corporativas en otros servicios.
#### Conclusiones
La campaña de inyección de keyloggers en servidores Exchange evidencia la persistente amenaza que representan las aplicaciones web corporativas expuestas. La combinación de vulnerabilidades no parcheadas, configuraciones inseguras y la sofisticación de los atacantes exige una vigilancia continua y una respuesta rápida. El sector debe anticipar la evolución de estas técnicas y priorizar la seguridad de los sistemas de correo, dado su papel crítico en la operativa empresarial.
(Fuente: feeds.feedburner.com)