La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Agencia de Seguridad Franquista (NSA), próximo con socios internacionales de Australia y Canadá, han publicado una folleto para proteger las instancias locales de Microsoft Exchange Server contra una posible explotación.
«Al restringir el acercamiento funcionario, implementar autenticación multifactor, hacer cumplir estrictas configuraciones de seguridad de transporte y adoptar principios de maniquí de seguridad de confianza cero (ZT), las organizaciones pueden aumentar significativamente sus defensas contra posibles ataques cibernéticos», dijo CISA.
Las agencias dijeron que continúa produciéndose actividad maliciosa dirigida a Microsoft Exchange Server, y que las instancias desprotegidas y mal configuradas enfrentan la peor parte de los ataques. Se recomienda a las organizaciones que desmantelen los servidores Exchange locales o híbridos al final de su vida útil luego de realizar la transición a Microsoft 365.
Algunas de las mejores practicas descritas se enumeran a continuacion:
- Abastecer actualizaciones de seguridad y cadencia de parches
- Portar servidores Exchange al final de su vida útil
- Asegúrese de que el servicio de mitigación de emergencias de Exchange permanezca facultado
- Aplicar y prolongar la dirección pulvínulo de Exchange Server, las líneas pulvínulo de seguridad de Windows y las líneas pulvínulo de seguridad del cliente de correo aplicables.
- Habilite la decisión antivirus, la interfaz de escaneo antimalware de Windows (AMSI), la reducción de la superficie de ataque (ASR) y AppLocker y App Control para empresas, detección y respuesta de endpoints y las funciones antispam y antimalware de Exchange Server.
- Restrinja el acercamiento funcionario al Centro de compañía de Exchange (EAC) y a PowerShell remoto y aplique el principio de privilegio imperceptible
- Refuerce la autenticación y el enigmático configurando Seguridad de la capa de transporte (TLS), Seguridad de transporte estricta HTTP (HSTS), Protección extendida (EP), Kerberos y Monolito de mensajes del servidor (SMB) en circunstancia de NTLM, y autenticación multifactor.
- Deshabilite el acercamiento remoto a PowerShell por parte de los usuarios en Exchange Management Shell (EMS)
«Afirmar los servidores Exchange es esencial para prolongar la integridad y confidencialidad de las comunicaciones y funciones empresariales», señalaron las agencias. «Evaluar y vigorizar continuamente la postura de ciberseguridad de estos servidores de comunicación es fundamental para mantenerse a la vanguardia de las amenazas cibernéticas en crecimiento y respaldar una protección sólida de Exchange como parte del núcleo activo de muchas organizaciones».
CISA actualiza la alerta CVE-2025-59287
La folleto llega un día luego de que CISA actualizara su alerta para incluir información adicional relacionada con CVE-2025-59287, una rotura de seguridad recientemente reparada en el componente Windows Server Update Services (WSUS) que podría resultar en la ejecución remota de código.
La agencia recomienda que las organizaciones identifiquen servidores que sean susceptibles de explotación, apliquen la puesta al día de seguridad fuera de partida publicada por Microsoft e investiguen signos de actividad de amenazas en sus redes.
- Monitorear y examinar actividades sospechosas y procesos secundarios generados con permisos a nivel de SISTEMA, particularmente aquellos que se originan en wsusservice.exe y/o w3wp.exe.
- Supervise y examine los procesos de PowerShell anidados mediante comandos de PowerShell codificados en base64
El ampliación sigue a un referencia de Sophos de que los actores de amenazas están explotando la vulnerabilidad para compilar datos confidenciales de organizaciones estadounidenses que abarcan una variedad de industrias, incluidas universidades, tecnología, manufactura y atención médica. La actividad de explotación se detectó por primera vez el 24 de octubre de 2025, un día luego de que Microsoft publicara la puesta al día.
En estos ataques, se ha descubierto que los atacantes aprovechan servidores Windows WSUS vulnerables para ejecutar comandos PowerShell codificados en Base64 y exfiltrar los resultados a un punto final del sitio webhook(.), lo que corrobora otros informes de Darktrace, Huntress y Palo Detención Networks Unit 42.
La empresa de ciberseguridad dijo a The Hacker News que hasta la plazo ha identificado seis incidentes en los entornos de sus clientes, aunque investigaciones posteriores han identificado al menos 50 víctimas.
«Esta actividad muestra que los actores de amenazas actuaron rápidamente para explotar esta vulnerabilidad crítica en WSUS para compilar datos valiosos de organizaciones vulnerables», dijo Rafe Pilling, director de inteligencia de amenazas de Sophos Counter Threat Unit, a The Hacker News en un comunicado.
«Es posible que esta fuera una grado original de prueba o inspección, y que los atacantes ahora estén analizando los datos que han recopilado para identificar nuevas oportunidades de intrusión. No estamos viendo más explotación masiva en este momento, pero aún es temprano, y los defensores deben tratar esto como una advertencia temprana. Las organizaciones deben cerciorarse de que sus sistemas estén completamente parcheados y que los servidores WSUS estén configurados de forma segura para acortar el aventura de explotación».
Michael Haag, ingeniero principal de investigación de amenazas en Splunk, propiedad de Cisco, señaló en una publicación en X que CVE-2025-59287 «va más allá de lo esperado» y que encontraron una cautiverio de ataque alternativa que implica el uso del binario de Microsoft Management Console («mmc.exe») para desencadenar la ejecución de «cmd.exe» cuando un administrador abre WSUS Admin Console o presiona «Restablecer nodo del servidor».
«Esta ruta desencadena una rotura del registro de eventos 7053», señaló Haag, y agregó que coincide con el seguimiento de la pila detectado por la empresa de ciberseguridad Huntress en «C:Program FilesUpdate ServicesLogfilesSoftwareDistribution.log».
