Hace alrededor de tres meses o más fue publicado en Internet la vulnerabilidad CVE-2021-26855, mejor conocida como ProxyLogon. Esta vulnerabilidad fue publicada con un índice de 10/10 de criticidad, dado que es posible ejecutar comandos remotos sin tener una autenticación al servidor.
La razón por la cual es considerado como ejecución de comandos remotos sin autenticación es porque, dado a un CVE, permite autenticarse como un usuario administrador; es la razón de lo que nos referimos. Una vez publicada esta vulnerabilidad, Microsoft empezó a desarrollar un parche de seguridad para mitigar la brecha de seguridad.
Dado el tiempo en el que Microsoft publicó el parche de seguridad de esta vulnerabilidad crítica, ya se contaba con una prueba de concepto (PoC o exploit) el cual permite a cualquier usuario sin conocimiento a profundidad en el mundo de tecnología poder ejecutarlo de forma sencilla. Es aquí donde está el problema del impacto severo que puede presentar a una empresa ser víctima de este ataque. Los ciberdelincuentes están modificando este exploit con el fin de comprometer las infraestructuras de las empresas con el programa maligno conocido como Ransomware (Secuestro de datos).
Esta vulnerabilidad es igual de severa que la vulnerabilidad conocida en el 2017 y denominada WannaCry. Es por esto que es de suma importancia mantener los equipos actualizados con el fin de mitigar vulnerabilidades conocidas. También, implementar controles de seguridad que puedan controlar el impacto de la vulnerabilidad, como por ejemplo ProxyLogon.
Por tod0 esto es que debemos siempre realizar auditorias a las infraestructuras para conocer el impacto real de equis vulnerabilidad.
Al final de cuentas, podremos fortalecer nuestra defensa contra estos tipos de ataques manteniendo la buenas prácticas de seguridad de la información, actualizando los sistema con parche de seguridad, implementando controles cibernéticos y realizando auditorías a la infraestructura.