Autoridades alertam sobre "ampla exploração doméstica e internacional das vulnerabilidades do Microsoft Exchange Server"
Quatro vulnerabilidades antes desconhecidas, ou de “dia zero”, recém-encontradas no Microsoft Exchange Server, estão sendo usadas, agora, em ataques generalizados contra milhares de organizações, com potencialmente dezenas de milhares de organizações afetadas, de acordo com pesquisadores de segurança.
[sc name="featured"]
Os bugs estão sendo rastreados como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065.
A Microsoft, que lançou patches de emergência na semana passada, atribuiu os ataques a uma equipe de hackers descoberta há pouco tempo, chamada Hafnium e que, provavelmente, se trata de um grupo apoiado pela China. A empresa também disse que os "ataques direcionados são limitados", mas alertou que podem ser explorados de forma mais ampla em um futuro próximo.
Desde então, o Departamento de Segurança Cibernética e Agência de Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos emitiu uma ordem para que as agências aplicassem os patches para sistemas Exchange locais ou simplesmente desconectassem servidores vulneráveis após testemunharem a "exploração ativa" das vulnerabilidades.
Em outras palavras, corrija o problema agora ou corra um risco vital.
O que você vai ler neste artigo
- Exploração afeta países de todo o mundo
- Apesar das ameaças, organizações não se protegem
- Como as vulnerabilidades podem ser exploradas contra as empresas
[sc name="campanha_anpd"]
Exploração afeta países de todo o mundo
A Microsoft pediu aos clientes do Exchange, que variam de grandes a pequenas empresas, que apliquem os patches imediatamente, porque "agentes do Estado e grupos criminosos estão se movendo rapidamente para tirar vantagem de qualquer sistema sem patch".
A CISA ainda alertou, recentemente, que estava "ciente da ampla exploração doméstica e internacional" das vulnerabilidades do Microsoft Exchange Server e solicitou a verificação dos logs do Exchange Server com a ferramenta de detecção IOC da Microsoft para ajudar a determinar o nível de comprometimento gerado pelas vulnerabilidades.
[sc name="feature_video_mar_2021"]
Apesar das ameaças, organizações não se protegem
Historicamente, é sabido que muitas organizações não atualizam seus softwares quando são encontradas vulnerabilidades. No ano passado, por exemplo, a Microsoft alertou seus clientes do servidor Exchange para corrigir uma falha crítica, CVE-2020-0688, mas descobriu, meses depois, que dezenas de milhares de servidores permanecem sem correção, apesar de invasores e cibercriminosos explorarem o bug desde o início.
Chris Krebs, ex-diretor da CISA, avalia que agências governamentais e pequenas empresas serão mais afetadas por esses ataques do que grandes empresas.
Ele acredita que os bugs do Exchange afetarão desproporcionalmente pequenas empresas e organizações no setor de educação, bem como governos estaduais e locais.
"As equipes de resposta a incidentes estão saturadas; este é um momento muito ruim", escreveu ele.
[sc name="newsletter"]
Como as vulnerabilidades podem ser exploradas contra as empresas
Os cibercriminosos do Hafnium implantaram "web shells" em servidores Exchange comprometidos, com o objetivo de roubar dados e instalar mais malware. Esses “web shells” são pequenos scripts que fornecem uma interface básica para acesso remoto a um sistema comprometido.
De acordo com Brian Krebs, pesquisador de cibersegurança, os hackers do Hafnium aceleraram os ataques a servidores Exchange vulneráveis desde que a Microsoft anunciou o lançamento dos patches. Suas fontes disseram que 30.000 organizações nos Estados Unidos foram hackeadas como parte dessa campanha.
"Os invasores deixaram para trás um ‘web shell’, uma ferramenta de hacking fácil de usar e protegida por senha que pode ser acessada pela Internet a partir de qualquer navegador. O web shell dá aos invasores acesso administrativo aos servidores de computador da vítima", observa Krebs.
Os ataques do Hafnium começaram em 6 de janeiro de 2021, de acordo com registros, e devem se espalhar para o restante do mundo com alguma velocidade.
A exploração por falhas não-corrigidas continua sendo um dos principais ataques mobilizados por cibercriminosos em todo o mundo.
Conte com a Compugraf para manter sua empresa segura. Consulte nossos serviços e saiba como podemos te ajudar!