A Microsoft lançou patches não programadas para várias vulnerabilidades do Exchange Server. Quatro dessas vulnerabilidades, de acordo com a empresa, já estão sendo usadas em ataques direcionados, portanto, seria aconselhável instalar as atualizações o mais rápido possível.
Qual é o risco?
As quatro vulnerabilidades mais perigosas já exploradas permitem que os invasores realizem um ataque em três estágios. Primeiro, eles acessam um servidor Exchange, em seguida, criam um Web shell para acesso ao servidor remoto e, por último, usam esse acesso para roubar dados da rede da vítima. As vulnerabilidades são:
- CVE-2021-26855 — pode ser usada para falsificação de solicitação backend do servidor, levando à execução remota de código;
- CVE-2021-26857 — pode ser usada para executar código arbitrário em nome do sistema (embora isso demande direitos de administrador ou exploração da vulnerabilidade anterior);
- CVE-2021-26858 e CVE-2021-27065 — pode ser usado por um invasor para sobrescrever arquivos no servidor.
Os cibercriminosos usam as quatro vulnerabilidades em conjunto; no entanto, de acordo com a Microsoft, em vez de um ataque inicial, eles às vezes usam credenciais roubadas e as autenticam no servidor sem usar a vulnerabilidade CVE-2021-26855.
Além disso, a mesma patch corrige algumas outras vulnerabilidades menores no Exchange que não estão (até onde sabemos) diretamente relacionadas a ataques direcionados ativos.
Quem está em risco?
A versão em nuvem do Exchange não é afetada por essas vulnerabilidades; eles representam uma ameaça apenas para os servidores implementados na infraestrutura. Inicialmente, a Microsoft liberou atualizações para o Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e uma atualização adicional de “Defesa em Profundidade” para o Microsoft Exchange Server 2010. No entanto, devido à gravidade da exploração, eles adicionaram posteriormente correções para Servidores Exchange desatualizados.
De acordo com pesquisadores da Microsoft, foram os hackers do grupo Hafnium que exploraram as vulnerabilidades para roubar informações confidenciais. Seus alvos incluem empresas industriais americanas, pesquisadores de doenças infecciosas, escritórios de advocacia, organizações sem fins lucrativos e analistas políticos. O número exato de vítimas é desconhecido, mas de acordo com fontes do KrebsOnSecurity, pelo menos 30 mil organizações nos EUA, incluindo pequenas empresas, administrações municipais e municipais e governos locais foram hackeados usando essas vulnerabilidades.
Nossos especialistas descobriram que não apenas as organizações americanas estão em perigo – os cibercriminosos em todo o mundo estão usando essas vulnerabilidades.
Como se proteger de ataques ao MS Exchange
- Em primeiro lugar, atualize o seu Microsoft Exchange Server. Se sua empresa não puder realizar os procedimentos para tal, a Microsoft recomenda uma série de soluções alternativas.
- De acordo com a Microsoft, negar o acesso não confiável ao servidor Exchange na porta 443, ou geralmente limitar as conexões de fora da rede corporativa, pode interromper a fase inicial do ataque. Mas isso não ajudará se os invasores já estiverem dentro da infraestrutura ou se obtiverem um usuário com direitos de administrador para executar um arquivo malicioso.
- Uma solução confiável de Endpoint Detection and Response (se você tiver especialistas internos) ou especialistas externos de serviço de Managed Detection and Response podem detectar esse comportamento malicioso.
- Sempre tenha em mente que todo computador conectado à Internet, seja servidor ou estação de trabalho, precisa de uma solução de segurança de endpoint confiável para prevenir invasões e detectar proativamente o comportamento malicioso.