Essa história começou em janeiro de 2021 e ainda está se revelando. As explorações geraram um ataque global de grandes ataques cibernéticos, afetando pelo menos 30.000 empresas e instituições apenas nos Estados Unidos. Embora os patches para os exploits já tenham sido lançados, o desastre está longe de terminar.
O que é o Microsoft Exchange Server?
O Microsoft Exchange Server é um sistema popular de e-mail comercial e calendário usado por centenas de milhares de empresas, governos, estabelecimentos de ensino e instituições financeiras. Ele é licenciado como um serviço e uma solução local, sendo a última mais solicitada. Inicialmente, a Microsoft identificou mais de 400.000 servidores locais em risco.
Vulnerabilidades críticas de dia zero
Segundo relatos, a Microsoft tomou conhecimento de quatro vulnerabilidades críticas no início de janeiro. Em 2 de março, os patches de emergência para os exploits foram lançados. Os patches estavam disponíveis para as versões 2010, 2013, 2016 e 2019 do Exchange, o que significa que a vulnerabilidade existe há mais de dez anos.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Infelizmente, quando as soluções de emergência foram lançadas, os ataques já haviam começado. Na verdade, de acordo com alguns pesquisadores, os bugs já estavam sendo explorados antes que a Microsoft descobrisse os problemas. Aqui estão as vulnerabilidades:
CVE-2021-26855 é uma falsificação de solicitação do lado do servidor que permite a um invasor ignorar a autenticação. Ele permite que o invasor acesse o conteúdo de várias caixas de correio de usuário.
CVE-2021-26857 é uma vulnerabilidade de desserialização insegura no Serviço de Unificação de Mensagens do Exchange, levando ao aumento de privilégios para o nível de SISTEMA.
CVE-2021-26858 e CVE-2021-27065 são vulnerabilidades de gravação de arquivo pós-autenticação. Combinado com a vulnerabilidade de autenticação CVE-2021-26855, esse exploit permite que o hacker grave um arquivo em qualquer caminho no servidor, permitindo que ele atinja a execução remota de código (RCE).
Portanto, em um ataque em cadeia, essas vulnerabilidades podem permitir RCE, sequestro de servidor, roubo de dados, criação de backdoor e instalação de malware.
Investida de ataques
Háfnio
De acordo com a Microsoft, uma organização de hackers apoiada pela China chamada Hafnium acessou contas de e-mail de várias organizações.
Os ataques funcionaram explorando as vulnerabilidades mencionadas anteriormente para obter acesso ao Exchange. Em seguida, eles criaram shells da web para controlar remotamente os servidores comprometidos. Agora eles podem usar o acesso remoto para criar backdoors, instalar malware e roubar dados de organizações. Os invasores também usaram malware para acessar dados de e-mail.
Depois que o patch foi lançado, o Hafnium respondeu aumentando seus esforços de hacking. Em 5 de março, o número estimado de organizações afetadas era de mais de 30.000 somente nos Estados Unidos e centenas de milhares em todo o mundo. Inclui polícia, hospitais, energia, transporte, aeroportos, instituições prisionais. Mais de 20% das vítimas são organizações governamentais e militares.
Em 11 de março, os ataques estavam dobrando a cada hora, com os EUA, Alemanha e Reino Unido sendo os alvos mais populares.
DearCry
Em 12 de março, a Microsoft relatou um novo tipo de ataque explorando as vulnerabilidades. Os hackers agora estão usando os servidores comprometidos para distribuir um tipo de ransomware, DearCry.
O ransomware infecta o alvo e exige um pagamento de resgate de $ 16.000.
Onde estamos agora?
Conforme mencionado, a Microsoft lançou um patch de vulnerabilidade de emergência no início de março. Infelizmente, até então, dezenas de milhares de organizações já foram atacadas. Em 12 de março, a Microsoft relatou que ainda havia 82.000 servidores MS Exchange não corrigidos expostos.
O patch não é uma bala de prata, no entanto. Mesmo que todas as organizações instalem a atualização de segurança, algumas podem já ter backdoors residindo em seus servidores.
Existe outro problema. Agora que os invasores sabem quais problemas a Microsoft corrigiu, a engenharia reversa das correções não está fora de questão. Na semana passada, pelo menos dois exploits de prova de conceito (PoC) foram publicados online.
PoCs disponíveis publicamente significam que ainda mais criminosos podem tirar proveito das vulnerabilidades. Ele permite que hackers menos avançados tecnicamente participem, enquanto grupos mais sofisticados podem simplesmente fazer isso mais rápido.
o que fazer a seguir?
Primeiro, se sua organização usa o MS Exchange, atualize-o imediatamente, caso ainda não o tenha feito. A Microsoft também lançou sua ferramenta de mitigação local do Exchange (EOMT), que ajuda organizações menores a se protegerem contra ameaças.
Aplique essas recomendações se não puder corrigir as vulnerabilidades imediatamente. A Microsoft também lançou um script para detectar possíveis intrusões.
Suponha que sua organização tenha sido comprometida. Mesmo que você tenha aplicado os patches imediatamente, isso não significa que sua empresa ainda não tenha sido comprometida.
Fique alerta. Infelizmente, isso pode ser apenas o começo. Atualize todos os seus sistemas e garanta que os membros da sua equipe saibam como usar as ferramentas de segurança cibernética que você tem disponíveis.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
