Dia zero no Microsoft Exchange Server: Ataques de exploração são avaliados pela Radware

Exploits de dia zero no Microsoft Exchange evoluíram para uma onda global de hackers, afetando milhares de organizações em todo o mundo.

dia-zero-no-microsoft-exchange-server-ataques-de-exploracao-sao-avaliados-pela-radware
Imagem: Crawford & Company

A Microsoft revelou ter lançado atualizações críticas, no dia 02 de março, para quatro vulnerabilidades cruciais de dia zero descobertas nos servidores Exchange. A empresa relatou que os exploits estão sendo ativamente explorados pelo HAFNIUM, grupo que opera na China.

“Depois de uma semana, aproximadamente 30.000 organizações norte-americanas e milhares de organizações em todo o mundo foram vítimas de uma campanha automatizada conduzida por HAFNIUM que fornece aos atacantes controle remoto sobre os sistemas afetados”, revela a Radware, fornecedora de soluções de cibersegurança e entrega de aplicações.

A empresa avalia a ameaça como crítica para todos os setores em todo o mundo, de pequenas a grandes corporações. “Relatórios iniciais indicaram o envolvimento de atores chineses avançados. Grupos APT chineses são conhecidos por espionagem e visam ativos de governos, instituições farmacêuticas de pesquisa, pesquisa em geral e pesquisa corporativa”, explica Arie Simchis, Diretor Regional para América Latina da Radware.

Os exploits começaram a circular e as campanhas de ransomware e criptomoedas, por sua vez, deram início a exploração das vulnerabilidades ainda na semana passada. “Consequentemente, a ameaça agora é genérica e global, colocando qualquer organização, independente da indústria ou localização, em risco de ser vítima de abuso de ransomware e mineração de criptomoedas”, destaca a Radware.

A “Deception Network” global da Radware registrou apenas duas varreduras aleatórias globais isoladas por servidores Exchange expostos até o último dia 15. O diretor regional da empresa revela acreditar “que as varreduras aleatórias aumentarão nos próximos dias à medida que mais atores maliciosos integrem a prova de conceitos atuantes em suas campanhas e botnets existentes”.

Imagem: Radware

Mitigação

“Qualquer Microsoft Exchange Server 2013, 2016 ou 2019 que seja ou tenha sido exposto à internet após 1º de janeiro de 2021 e capaz de receber conexões não confiáveis, está potencialmente comprometido. O Exchange Online não é afetado pelas vulnerabilidades”.

Já com relação ao Exchange Server 2010, a Radware aponta que ele “só é afetado pelo CVE-2021-26857 e, como tal, não é afetado pela vulnerabilidade SSRF de acesso inicial. No entanto, é altamente recomendável instalar as atualizações de segurança mais recentes”.

“Os Exchange Server 2003 e 2007 não são mais suportados e devem ser atualizados para uma versão mais recente e suportada do Exchange o mais rápido possível”. A Microsoft forneceu mitigações provisórias para organizações que não conseguem atualizar imediatamente ou precisam de mais tempo para passar no teste de garantia de qualidade.

“Após atualizar ou proteger o Exchange Server, ainda é altamente recomendável verificar se há vestígios de potenciais exploits anteriores que poderiam ter acontecido entre os primeiros ataques e as atualizações. A Microsoft lançou um script PowerShell que pode detectar a presença de web shells”, afirma Arie Simchis.

Mesmo que não tenha sido detectada nenhuma web shell, uma auditoria forense mais ampla ainda é recomendada pelo executivo da Radware. “Deve-se começar filtrando os logs do servidor web do Exchange para traços de execuções de comandos que podem ser realizadas aproveitando os scripts do PowerShell públicos. Finalmente, é importante garantir que nenhum dado foi exfiltrado ou contas comprometidas ou adicionadas por atores maliciosos. Mesmo quando não foram detectados vestígios de compromisso no servidor, os atores maliciosos poderiam ter apagado seu rastro enquanto ainda mantinham uma posição”.

Acesse a versão completa
Sair da versão mobile