O Brasil é o quinto país mais atacado pelas vulnerabilidades de dia zero do servidor Microsoft Exchange. A informação é da Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd. Eles registraram centenas de tentativas de exploração de vulnerabilidade contra organizações em todo o mundo relacionadas às quatro vulnerabilidades de dia zero que atualmente afetam o Microsoft Exchange Server.
Nas semana passada, a CPR observou que o número de tentativas de exploração nas empresas que rastreia dobra a cada duas ou três horas. Os pesquisadores da CPR descreveram também as vulnerabilidades divulgadas, as empresas visadas por país e por setor, bem como as recomendações para prevenir os ataques que ainda estão por vir. Especialistas em cibersegurança em todo o mundo estão fazendo extensos esforços de prevenção para combater os cibercriminosos que produzem explorações para se aproveitarem dos pontos fracos do Microsoft Exchange.
Tentativas de ataque atuais em números
De todas as empresas atacadas, 17% são dos setores público/Governo e militar e 14% do setor da indústria/manufatura. Do ponto de vista geográfico, o país mais atacado é a Turquia (19%), seguida pelos Estados Unidos (18%), Itália (10%), Alemanha (7%) e o Brasil (4%).
Brasil é o quinto país mais atacado pelas vulnerabilidades de dia zero do servidor Microsoft Exchange
No início de março, a Microsoft lançou um patch de emergência para o Exchange Server, o servidor de e-mail mais popular do mundo. Todos os e-mails de entrada e saída, convites de calendário e praticamente qualquer informação ou tarefa acessada no Outlook passam pelo servidor Exchange.
A Orange Tsai (Cheng-Da Tsai) da DEVCORE, uma empresa de segurança com sede em Taiwan, relatou duas vulnerabilidades em janeiro. Mesmo sem conhecimento da magnitude dos eventos, a Microsoft investigou mais a fundo seu servidor Exchange. Finalmente, a investigação os levou a descobrir cinco outras vulnerabilidades críticas que permitiam a um cibercriminoso ler e-mails de um servidor Exchange sem ter de autenticar ou acessar a conta de e-mail de um usuário. Além disso, as diferentes vulnerabilidades permitem que os cibercriminosos assumam o controle total do próprio servidor.
Uma vez que um cibercriminoso assume o controle do servidor Exchange, ele pode abrir a rede para a Internet e acessá-la remotamente. Como muitos servidores Exchange estão conectados à Internet (especificamente à função Outlook Web Access) e integrados à rede geral, isso representa um risco crítico de segurança para milhões de empresas.
Se o servidor Microsoft Exchange de uma empresa tiver acesso à Internet e não tiver sido atualizado com os patches mais recentes ou protegido por software de fornecedores de cibersegurança, deve-se considerar que o servidor está comprometido. Os servidores comprometidos podem permitir que um cibercriminoso não autorizado extraia todos os e-mails corporativos e execute códigos maliciosos dentro de uma empresa com permissões elevadas.
Como funcionam essas vulnerabilidades
- CVE-2021-26855 – é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que o cibercriminoso envie solicitações HTTP arbitrárias e se autentique como o servidor Exchange.
- CVE-2021-26857 – é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis, controlados pelo usuário, são extraídos por um programa. A exploração desta vulnerabilidade dá ao HAFNIUM (grupo de hackers) a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.
- CVE-2021-26858 – é uma vulnerabilidade arbitrária de gravação de arquivo após autenticação no Exchange. Se o HAFNIUM pudesse autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
- CVE-2021-27065 – é uma vulnerabilidade pós-autenticação de gravação de arquivo arbitrária no Exchange. Se HAFNIUM pudesse autenticar com o servidor Exchange, ele poderia usar esta vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
“Qualquer organização cujo servidor Microsoft Exchange esteja exposto à Internet que não tenha ainda atualizado o seu software com os mais recentes patches da Microsoft ou que não conte com um fornecedor terceiro de cibersegurança, como a Check Point, corre um grande risco,” alerta Claudio Bannwart, country manager da Check Point Brasil.
Com um servidor comprometido, a porta está aberta a acessos não autorizados e incorporação de códigos maliciosos na sua organização. Um atacante pode extrair os seus e-mails corporativos ou a executar atividades danosas sem o seu conhecimento. Para as empresas que estão ainda em risco, tomar medidas preventivas no servidor Exchange não é suficiente. É necessário fazer uma avaliação completa das suas redes ativas e procurar por potenciais ameaças, recomenda Bannwart.
Como as organizações podem se prevenir e proteger no futuro
1. Instalar imediatamente os devidos patches lançados pela Microsoft. Esta atualização não é automática, o que significa que a rede corporativa só estará protegida quando a atualização for feita manualmente.
2. Prevenir é o melhor remédio. Utilize o Intrusion Prevention System (IPS) para garantir proteção contra tentativas de exploração de falhas em sistemas ou aplicações vulneráveis.
3. Proteger os endpoints. O antivírus convencional é uma solução altamente eficaz na prevenção contra os ataques conhecidos, já que protege contra a maioria dos malwares. Para evitar falhas de segurança ou vazamento de dados, é importante investir em uma solução de proteção de endpoints abrangente que garanta os mais altos níveis de segurança.