Barracuda full logo

Asesoría sobre amenazas de ciberseguridad: ataque global a Microsoft Exchange

Temas:
27 jun 2025
|
Mandeep Gujral

Una reciente campaña cibernética ha comprometido más de 70 servidores de Microsoft Exchange en 26 países al inyectar registradores de teclas basados en JavaScript en las páginas de inicio de sesión de Outlook Web Access (OWA). Revise los detalles de este Aviso de Amenaza de Ciberseguridad para protegerse contra estas vulnerabilidades.

¿Cuál es la amenaza?

Esta campaña, activa desde al menos 2021, tiene como objetivo los servidores de Microsoft Exchange con OWA habilitado. Los hackers inyectan keyloggers maliciosos basados en JavaScript en las páginas de inicio de sesión de OWA para capturar nombres de usuario y contraseñas mientras los usuarios inician sesión. Las credenciales robadas se almacenan localmente en el servidor o se exfiltran utilizando túneles DNS o bots de Telegram. La campaña se dirige principalmente a agencias gubernamentales, empresas de TI y sectores industriales aprovechando vulnerabilidades de Exchange sin parches. Su naturaleza sigilosa y su baja tasa de detección hacen que la aplicación inmediata de parches, la auditoría de scripts y el monitoreo de tráfico sean críticos para la defensa.

¿Por qué es esto digno de mención?

El código JavaScript malicioso está diseñado para leer y procesar datos de formularios de autenticación, enviando posteriormente esta información a través de una solicitud XHR a una página designada en un servidor Exchange comprometido. El código fuente de la página objetivo incluye una función manejadora que captura la solicitud entrante y escribe los datos en un archivo en el servidor.

La cadena de ataque comienza explotando vulnerabilidades conocidas en Microsoft Exchange Server, como ProxyShell, para inyectar código de keylogger en la página de inicio de sesión. La identidad de los actores de la amenaza responsables sigue siendo desconocida en este momento. Algunas de las vulnerabilidades utilizadas como armas se enumeran a continuación:

  • CVE-2014-4078 – Vulnerabilidad de omisión de características de seguridad de IIS
  • CVE-2020-0796 – Vulnerabilidad de ejecución remota de código en el cliente/servidor Windows SMBv3.
  • CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065 – Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server (ProxyLogon).
  • CVE-2021-31206 – Vulnerabilidad de ejecución remota de código en Microsoft Exchange Server.
  • CVE-2021-31207, CVE-2021-34473 y CVE-2021-34523 – Vulnerabilidad de omisión de características de seguridad del servidor de Microsoft Exchange (ProxyShell).

¿Cuál es la exposición o el riesgo?

Este archivo, que contiene los datos robados, puede ser accedido desde una red externa. También se han descubierto variantes equipadas con capacidades de registro de teclas local, que recopilan cookies de usuario, cadenas de User-Agent y marcas de tiempo. Una ventaja significativa de este método es el riesgo mínimo de detección. No implica tráfico saliente en la transmisión de la información.

Hasta ahora, se han identificado al menos 22 servidores comprometidos dentro de agencias gubernamentales. Otros sectores afectados incluyen TI, logística e industria. Los principales países objetivo son Vietnam, Rusia, Taiwán, China, Pakistán, Líbano, Australia, Zambia, Países Bajos y Turquía.

¿Cuáles son las recomendaciones?

Barracuda recomienda las siguientes acciones para mantener su entorno seguro frente a esta amenaza:

  • Aplique los últimos parches de seguridad a todos los servidores de Microsoft Exchange. Verifique regularmente las actualizaciones y aplíquelas de inmediato para mitigar las vulnerabilidades conocidas.
  • Limite el acceso a los servidores de Exchange solo a aquellos que realmente lo necesiten. Utilice controles de acceso basados en roles (RBAC) para aplicar el principio de privilegio mínimo.
  • Adopte una detección y respuesta ante amenazas extendida, como Barracuda XDR Endpoint Security , para monitorear los endpoints en busca de actividades sospechosas, incluyendo la detección y el bloqueo de scripts maliciosos, la instalación de software no autorizado como keyloggers, y para detectar intentos de inicio de sesión inusuales o patrones de acceso que podrían indicar una cuenta o un servidor comprometido.
  • Habilitar la autenticación multifactor (MFA) para todos los usuarios que accedan al servidor de Exchange para añadir una capa adicional de seguridad más allá de solo las contraseñas.

¿Cómo puede Barracuda protegerle contra esta amenaza?

Barracuda presentó recientemente su servicio de seguridad de vulnerabilidades gestionadas, una solución completamente gestionada que detecta y prioriza proactivamente las vulnerabilidades en servidores, endpoints, dispositivos de red e infraestructura en la nube. A la luz de amenazas como la campaña de keylogger de JavaScript de OWA, este servicio ayuda a identificar servidores Exchange no parcheados y configuraciones incorrectas antes de que los atacantes puedan explotarlos. Cuando se combina con las capacidades de detección de amenazas en tiempo real y respuesta ante incidentes de Barracuda Managed XDR, permite una estrategia de defensa en profundidad, cerrando brechas de seguridad mientras también identifica eventos de inicio de sesión sospechosos o movimientos laterales. Este enfoque unificado—el escaneo de vulnerabilidades combinado con el motor de detección de XDR—ayuda a las organizaciones a adelantarse a las amenazas avanzadas, reducir la complejidad del proveedor y fortalecer su postura general de seguridad.

Referencias

Para obtener información más detallada, visite los siguientes enlaces:

Si tiene alguna pregunta sobre este Aviso de Amenaza de Ciberseguridad, no dude en ponerse en contacto con el Centro de Operaciones de Seguridad de Barracuda Managed XDR.

 

Nota: Esta publicación de blog se publicó originalmente en SmarterMSP.com.

 

 

Mandeep Gujral

Mandeep es Analista de Ciberseguridad en Barracuda MSP. Es experta en seguridad, trabajando en nuestro Equipo Azul dentro de nuestro Centro de Operaciones de Seguridad. Mandeep apoya la entrega de servicios XDR y tiene una alta habilidad para analizar eventos de seguridad para detectar amenazas cibernéticas, ayudando a proteger a nuestros socios y a sus clientes.

Publicaciones relacionadas:
Explicación de los ataques de phishing de Microsoft Direct Send
Explicación de los ataques de phishing de Microsoft Direct Send
 Aviso de amenaza de ciberseguridad: vulnerabilidad de día cero en Microsoft SharePoint
Aviso de amenaza de ciberseguridad: vulnerabilidad de día cero en Microsoft SharePoint
 Asesoría de Amenazas de Ciberseguridad: vulnerabilidad de día cero en Google Chrome
Asesoría de Amenazas de Ciberseguridad: vulnerabilidad de día cero en Google Chrome
 Asesoramiento sobre amenazas de ciberseguridad: nuevas vulnerabilidades de OpenSHH
Asesoramiento sobre amenazas de ciberseguridad: nuevas vulnerabilidades de OpenSHH

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.