La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) y la Agencia de Seguridad Nacional (NSA), junto con socios internacionales de Australia y Canadá, han publicado una guía para proteger las instancias locales de Microsoft Exchange Server contra la posible explotación.
«Al restringir el acceso administrativo, implementar la autenticación multifactorial, aplicar configuraciones estrictas de seguridad del transporte y adoptar los principios del modelo de seguridad de confianza cero (ZT), las organizaciones pueden reforzar significativamente sus defensas contra posibles ciberataques», dijo CISA dijo .
Las agencias dijeron que la actividad maliciosa dirigida a Microsoft Exchange Server sigue teniendo lugar, y que las instancias desprotegidas y mal configuradas se enfrentan a la peor parte de los ataques. Se recomienda a las organizaciones que desmantelen los servidores Exchange híbridos o locales que han llegado al final de su vida útil tras la transición a Microsoft 365.
Algunas de las mejores prácticas descritas se enumeran a continuación:
- Mantenga las actualizaciones de seguridad y la cadencia de aplicación de parches
- Migre los servidores Exchange al final de su vida útil
- Garantizar Servicio de mitigación de emergencias de Exchange permanece habilitada
- Aplicar y mantener la línea base de Exchange Server, las líneas base de seguridad de Windows y las líneas base de seguridad de los clientes de correo aplicables
- Habilite la solución antivirus, la interfaz de escaneo antimalware (AMSI) de Windows, la reducción de la superficie de ataque (ASR) y AppLocker y el control de aplicaciones para empresas, la detección y respuesta de terminales y las funciones antispam y antimalware de Exchange Server
- Restrinja el acceso administrativo al Centro de administración de Exchange (EAC) y a PowerShell remoto y aplique el principio de privilegio mínimo
- Refuerce la autenticación y el cifrado configurando Transport Layer Security (TLS), HTTP Strict Transport Security ( HSTS ), Protección extendida ( EP ), Kerberos y bloque de mensajes de servidor (SMB) en lugar de NTLM, y autenticación multifactor
- Inhabilite el acceso remoto a PowerShell por parte de los usuarios en el Shell de administración de Exchange ( EMS )
«Proteger los servidores Exchange es esencial para mantener la integridad y la confidencialidad de las comunicaciones y funciones empresariales», señalaron las agencias. «Evaluar y reforzar continuamente la postura de ciberseguridad de estos servidores de comunicación es fundamental para anticiparse a la evolución de las ciberamenazas y garantizar una protección sólida de Exchange como parte del núcleo operativo de muchas organizaciones».
CISA actualiza la alerta CVE-2025-59287
La guía llega un día después de la CISA actualizado su alerta para incluir información adicional relacionada con CVE-2025-59287 , un fallo de seguridad recientemente corregido en los Servicios de actualización de Windows Server ( WSUS ) componente que podría provocar la ejecución remota de código.
La agencia recomienda que las organizaciones identifiquen los servidores que son susceptibles de explotación, apliquen la actualización de seguridad fuera de banda publicada por Microsoft e investiguen las señales de actividad de amenazas en sus redes -
- Supervise y examine la actividad sospechosa y los procesos secundarios generados con permisos a nivel del sistema, en particular los que se originan en wsusservice.exe y/o w3wp.exe
- Supervise y examine los procesos anidados de PowerShell mediante comandos de PowerShell codificados en base64
El desarrollo sigue a un informe de Sophos según el cual los actores de amenazas son explotando la vulnerabilidad a la hora de recopilar datos confidenciales de organizaciones estadounidenses que abarcan una variedad de industrias, incluidas las universidades, la tecnología, la fabricación y la atención médica. La actividad de explotación se detectó por primera vez el 24 de octubre de 2025, un día después de que Microsoft publicara la actualización.
En estos ataques, se ha descubierto que los atacantes aprovechan los servidores WSUS vulnerables de Windows para ejecutar comandos de PowerShell codificados en Base64 y filtrar los resultados a un punto final del sitio webhook [.], lo que corrobora otros informes de Darktrace, Huntress y Palo Alto Networks Unit 42.
La empresa de ciberseguridad dijo a The Hacker News que hasta la fecha ha identificado seis incidentes en los entornos de sus clientes, aunque investigaciones posteriores han identificado al menos 50 víctimas.
«Esta actividad demuestra que los actores de amenazas actuaron rápidamente para explotar esta vulnerabilidad crítica en WSUS y recopilar datos valiosos de organizaciones vulnerables», dijo Rafe Pilling, director de inteligencia de amenazas de la Unidad de Lucha contra Amenazas de Sophos, a The Hacker News en un comunicado.
«Es posible que se tratara de una fase inicial de prueba o reconocimiento, y que los atacantes ahora estén analizando los datos que han recopilado para identificar nuevas oportunidades de intrusión. No estamos viendo más explotación masiva en este momento, pero aún es pronto, y los defensores deben tratar esto como una alerta temprana. Las organizaciones deben asegurarse de que sus sistemas estén completamente parcheados y de que los servidores WSUS estén configurados de forma segura para reducir el riesgo de explotación».
Michael Haag, ingeniero principal de investigación de amenazas de Splunk, propiedad de Cisco, apuntado en una publicación en X que CVE-2025-59287 «va más allá de lo esperado» y que han encontrado una cadena de ataque alternativa que implica el uso del binario de Microsoft Management Console (» mmc.exe «) para activar la ejecución de" cmd.exe "cuando un administrador abre la consola de administración de WSUS o pulsa «Restablecer nodo de servidor».»
«Esta ruta provoca un bloqueo del registro de eventos del 7053», señaló Haag, añadiendo que coincide con el rastro de pila descubierto por Huntress en "C:\Program Files\ Update Services\ Logfiles\ SoftwareDistribution.log».