Hace unas semanas Microsoft admitió un ataque a los servidores de Microsoft Exchange en sus versiones de los años 2016 y 2019 y se acusó a un grupo de ciberdelincuentes chinos. Ahora, el FBI ha intervenido por orden judicial y ha conseguido neutralizar y eliminar cientos de shells maliciosos instalados en servidores vulnerables y que podrían haber llegado a acceder a datos y funciones restringidas.

Microsoft ya puso parches para solventar la vulnerabilidad del Exchange y en abril de este año ha publicado actualizaciones de seguridad para vulnerabilidades que se encuentran en Exchange Server 2013, 2016 y 2019.
Sin embargo reconoció que hasta un 8% de las direcciones IP vulnerables aún no se habían actualizado. Debido a esto y a que también podría haber alguna afectación en servidores del Pentágono y de la Casa Blanca, el FBI obtuvo una orden judicial para actuar y se ha centrado en neutralizar los webshells maliciosos. Estos shells atacaban servicios de correo electrónico de diversas empresas.

La vulnerabilidad en Microsoft Exchange termina con una operación del FBI y se acusa a China
Logotipo de Microsoft Exchange



La actuación del FBI ha consistido en eliminar los webshells introducidos maliciosamente en estos servidores, para así terminar con la vulnerabilidad. La complejidad de esta acción viene dada porque la ruta de estos scripts era única y diferente en cada servidor afectado. Sin embargo el Departamento de Justicia de Estados Unidos ha admitido que la eliminación total no ha sido posible, por lo que recomiendan a los usuarios afectados instalar las actualizaciones que Microsoft ha creado.

Un shell es un intérprete de órdenes o de comandos cuya misión principal es iniciar otros programas. Actúa directamente con la interfaz de usuario, es decir, la forma con que el usuario puede comunicarse con la máquina.

Microsoft apunta a China

Desde el primer momento se sospechó que el ataque provenía de China. Incluso se culpó directamente al grupo Hafnium o Hafnio, un grupo de ciberespionaje que opera desde China pero que utilizan servidores privados virtuales situados en Estados Unidos. Microsoft también ha asegurado que Hafnium tiene vínculos con el gobierno chino, lo que sin duda avivaría la guerra tecnológica entre los dos colosos tecnológicos. Pero el gobierno chino ha negado con insistencia cualquier vinculación con este grupo.

Podéis ver la información de Wikipedia sobre Hafnium AQUÍ.

Podéis ver el comunicado del Departamento de Justicia de Estados Unidos AQUÍ.


Este ataque es una muestra más de que debemos hacer las cosas bien y no ser perezosos en los temas informáticos. Todavía son muchas las empresas y directivos a los que les cuesta realizar actualizaciones, ya sea por pereza, por desconocimientos técnicos o por trabajo, lo que conlleva aplazar en el tiempo una decisión que debería ser inmediata. ¿La solución? Poned vuestra seguridad y la de vuestras empresas en manos profesionales.
TECNOideas 2.0 puede ayudaros en estos temas, porque también somos consultores de seguridad. Podéis consultar nuestros servicios en esta área AQUÍ.

Leave a comment