La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Agencia de Seguridad Doméstico (NSA), cercano con socios internacionales de Australia y Canadá, han publicado una tutela para proteger las instancias locales de Microsoft Exchange Server contra una posible explotación.
“Al restringir el comunicación burócrata, implementar autenticación multifactor, hacer cumplir estrictas configuraciones de seguridad de transporte y adoptar principios de maniquí de seguridad de confianza cero (ZT), las organizaciones pueden reanimar significativamente sus defensas contra posibles ataques cibernéticos”, dijo CISA.
Las agencias dijeron que continúa produciéndose actividad maliciosa dirigida a Microsoft Exchange Server, y que las instancias desprotegidas y mal configuradas enfrentan la peor parte de los ataques. Se recomienda a las organizaciones que desmantelen los servidores Exchange locales o híbridos al final de su vida útil posteriormente de realizar la transición a Microsoft 365.
Algunas de las mejores practicas descritas se enumeran a continuacion:
- Proseguir actualizaciones de seguridad y cadencia de parches
- Portar servidores Exchange al final de su vida útil
- Asegúrese de que el servicio de mitigación de emergencias de Exchange permanezca autorizado
- Aplicar y sustentar la columna cojín de Exchange Server, las líneas cojín de seguridad de Windows y las líneas cojín de seguridad del cliente de correo aplicables.
- Habilite la decisión antivirus, la interfaz de escaneo antimalware de Windows (AMSI), la reducción de la superficie de ataque (ASR) y AppLocker y App Control para empresas, detección y respuesta de endpoints y las funciones antispam y antimalware de Exchange Server.
- Restrinja el comunicación burócrata al Centro de dependencia de Exchange (EAC) y a PowerShell remoto y aplique el principio de privilegio pequeño
- Refuerce la autenticación y el criptográfico configurando Seguridad de la capa de transporte (TLS), Seguridad de transporte estricta HTTP (HSTS), Protección extendida (EP), Kerberos y Coalición de mensajes del servidor (SMB) en ocasión de NTLM, y autenticación multifactor.
- Deshabilite el comunicación remoto a PowerShell por parte de los usuarios en Exchange Management Shell (EMS)
“Consolidar los servidores Exchange es esencial para sustentar la integridad y confidencialidad de las comunicaciones y funciones empresariales”, señalaron las agencias. “Evaluar y robustecer continuamente la postura de ciberseguridad de estos servidores de comunicación es fundamental para mantenerse a la vanguardia de las amenazas cibernéticas en proceso y asegurar una protección sólida de Exchange como parte del núcleo activo de muchas organizaciones”.
CISA actualiza la alerta CVE-2025-59287
La tutela llega un día posteriormente de que CISA actualizara su alerta para incluir información adicional relacionada con CVE-2025-59287, una descompostura de seguridad recientemente reparada en el componente Windows Server Update Services (WSUS) que podría resultar en la ejecución remota de código.
La agencia recomienda que las organizaciones identifiquen servidores que sean susceptibles de explotación, apliquen la modernización de seguridad fuera de bandada publicada por Microsoft e investiguen signos de actividad de amenazas en sus redes.
- Monitorear y examinar actividades sospechosas y procesos secundarios generados con permisos a nivel de SISTEMA, particularmente aquellos que se originan en wsusservice.exe y/o w3wp.exe.
- Supervise y examine los procesos de PowerShell anidados mediante comandos de PowerShell codificados en base64
El explicación sigue a un documentación de Sophos de que los actores de amenazas están explotando la vulnerabilidad para resumir datos confidenciales de organizaciones estadounidenses que abarcan una variedad de industrias, incluidas universidades, tecnología, manufactura y atención médica. La actividad de explotación se detectó por primera vez el 24 de octubre de 2025, un día posteriormente de que Microsoft publicara la modernización.
En estos ataques, se ha descubierto que los atacantes aprovechan servidores Windows WSUS vulnerables para ejecutar comandos PowerShell codificados en Base64 y exfiltrar los resultados a un punto final del sitio webhook(.), lo que corrobora otros informes de Darktrace, Huntress y Palo Stop Networks Unit 42.
La empresa de ciberseguridad dijo a The Hacker News que hasta la época ha identificado seis incidentes en los entornos de sus clientes, aunque investigaciones posteriores han identificado al menos 50 víctimas.
“Esta actividad muestra que los actores de amenazas actuaron rápidamente para explotar esta vulnerabilidad crítica en WSUS para resumir datos valiosos de organizaciones vulnerables”, dijo Rafe Pilling, director de inteligencia de amenazas de Sophos Counter Threat Unit, a The Hacker News en un comunicado.
“Es posible que esta fuera una grado auténtico de prueba o inspección, y que los atacantes ahora estén analizando los datos que han recopilado para identificar nuevas oportunidades de intrusión. No estamos viendo más explotación masiva en este momento, pero aún es temprano, y los defensores deben tratar esto como una advertencia temprana. Las organizaciones deben comprobar de que sus sistemas estén completamente parcheados y que los servidores WSUS estén configurados de forma segura para disminuir el peligro de explotación”.
Michael Haag, ingeniero principal de investigación de amenazas en Splunk, propiedad de Cisco, señaló en una publicación en X que CVE-2025-59287 “va más allá de lo esperado” y que encontraron una sujeción de ataque alternativa que implica el uso del binario de Microsoft Management Console (“mmc.exe”) para desencadenar la ejecución de “cmd.exe” cuando un administrador abre WSUS Admin Console o presiona “Restablecer nodo del servidor”.
“Esta ruta desencadena una descompostura del registro de eventos 7053”, señaló Haag, y agregó que coincide con el seguimiento de la pila detectado por la empresa de ciberseguridad Huntress en “C:Program FilesUpdate ServicesLogfilesSoftwareDistribution.log”.
