La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Agencia de Seguridad Nacional (NSA), junto con socios internacionales de Australia y Canadá, han publicado una guía para proteger las instancias locales de Microsoft Exchange Server contra una posible explotación.
«Al restringir el acceso administrativo, implementar autenticación multifactor, hacer cumplir estrictas configuraciones de seguridad de transporte y adoptar principios de modelo de seguridad de confianza cero (ZT), las organizaciones pueden reforzar significativamente sus defensas contra posibles ataques cibernéticos», dijo CISA.
Las agencias dijeron que continúa produciéndose actividad maliciosa dirigida a Microsoft Exchange Server, y que las instancias desprotegidas y mal configuradas enfrentan la peor parte de los ataques. Se recomienda a las organizaciones que desmantelen los servidores Exchange locales o híbridos al final de su vida útil después de realizar la transición a Microsoft 365.
Algunas de las mejores practicas descritas se enumeran a continuacion:
- Mantener actualizaciones de seguridad y cadencia de parches
- Migrar servidores Exchange al final de su vida útil
- Asegúrese de que el servicio de mitigación de emergencias de Exchange permanezca habilitado
- Aplicar y mantener la línea base de Exchange Server, las líneas base de seguridad de Windows y las líneas base de seguridad del cliente de correo aplicables.
- Habilite la solución antivirus, la interfaz de escaneo antimalware de Windows (AMSI), la reducción de la superficie de ataque (ASR) y AppLocker y App Control para empresas, detección y respuesta de endpoints y las funciones antispam y antimalware de Exchange Server.
- Restrinja el acceso administrativo al Centro de administración de Exchange (EAC) y a PowerShell remoto y aplique el principio de privilegio mínimo
- Refuerce la autenticación y el cifrado configurando Seguridad de la capa de transporte (TLS), Seguridad de transporte estricta HTTP (HSTS), Protección extendida (EP), Kerberos y Bloque de mensajes del servidor (SMB) en lugar de NTLM, y autenticación multifactor.
- Deshabilite el acceso remoto a PowerShell por parte de los usuarios en Exchange Management Shell (EMS)
«Asegurar los servidores Exchange es esencial para mantener la integridad y confidencialidad de las comunicaciones y funciones empresariales», señalaron las agencias. «Evaluar y fortalecer continuamente la postura de ciberseguridad de estos servidores de comunicación es fundamental para mantenerse a la vanguardia de las amenazas cibernéticas en evolución y garantizar una protección sólida de Exchange como parte del núcleo operativo de muchas organizaciones».
CISA actualiza la alerta CVE-2025-59287
La guía llega un día después de que CISA actualizara su alerta para incluir información adicional relacionada con CVE-2025-59287, una falla de seguridad recientemente reparada en el componente Windows Server Update Services (WSUS) que podría resultar en la ejecución remota de código.
La agencia recomienda que las organizaciones identifiquen servidores que sean susceptibles de explotación, apliquen la actualización de seguridad fuera de banda publicada por Microsoft e investiguen signos de actividad de amenazas en sus redes.
- Monitorear y examinar actividades sospechosas y procesos secundarios generados con permisos a nivel de SISTEMA, particularmente aquellos que se originan en wsusservice.exe y/o w3wp.exe.
- Supervise y examine los procesos de PowerShell anidados mediante comandos de PowerShell codificados en base64
El desarrollo sigue a un informe de Sophos de que los actores de amenazas están explotando la vulnerabilidad para recopilar datos confidenciales de organizaciones estadounidenses que abarcan una variedad de industrias, incluidas universidades, tecnología, manufactura y atención médica. La actividad de explotación se detectó por primera vez el 24 de octubre de 2025, un día después de que Microsoft publicara la actualización.
En estos ataques, se ha descubierto que los atacantes aprovechan servidores Windows WSUS vulnerables para ejecutar comandos PowerShell codificados en Base64 y exfiltrar los resultados a un punto final del sitio webhook(.), lo que corrobora otros informes de Darktrace, Huntress y Palo Alto Networks Unit 42.
La empresa de ciberseguridad dijo a The Hacker News que hasta la fecha ha identificado seis incidentes en los entornos de sus clientes, aunque investigaciones posteriores han identificado al menos 50 víctimas.
«Esta actividad muestra que los actores de amenazas actuaron rápidamente para explotar esta vulnerabilidad crítica en WSUS para recopilar datos valiosos de organizaciones vulnerables», dijo Rafe Pilling, director de inteligencia de amenazas de Sophos Counter Threat Unit, a The Hacker News en un comunicado.
«Es posible que esta fuera una fase inicial de prueba o reconocimiento, y que los atacantes ahora estén analizando los datos que han recopilado para identificar nuevas oportunidades de intrusión. No estamos viendo más explotación masiva en este momento, pero aún es temprano, y los defensores deben tratar esto como una advertencia temprana. Las organizaciones deben asegurarse de que sus sistemas estén completamente parcheados y que los servidores WSUS estén configurados de forma segura para reducir el riesgo de explotación».
Michael Haag, ingeniero principal de investigación de amenazas en Splunk, propiedad de Cisco, señaló en una publicación en X que CVE-2025-59287 «va más allá de lo esperado» y que encontraron una cadena de ataque alternativa que implica el uso del binario de Microsoft Management Console («mmc.exe») para desencadenar la ejecución de «cmd.exe» cuando un administrador abre WSUS Admin Console o presiona «Restablecer nodo del servidor».
«Esta ruta desencadena una falla del registro de eventos 7053», señaló Haag, y agregó que coincide con el seguimiento de la pila detectado por la empresa de ciberseguridad Huntress en «C:Program FilesUpdate ServicesLogfilesSoftwareDistribution.log».