Quem trabalha com tecnologia certamente já ouviu falar ou utiliza o Microsoft Exchange, a solução de servidor para e-mail e calendário da Microsoft. O Exchange é utilizado em todo o mundo por empresas de todos os tamanhos, sendo preferido por sua versatilidade e facilidade de uso, e por ele passam bilhões de mensagens eletrônicas diariamente. No entanto, mesmo com todas essas vantagens, o Exchange não está livre de falhas.

No começo do mês de março deste ano, a gigante criadora do Windows lançou correções de emergência para vulnerabilidades zero-day que foram descobertas e estavam sendo exploradas por atacantes maliciosos para instalar softwares maliciosos a partir do Exchange. Também chamadas de ProxyLogon, essas vulnerabilidades permitiam acesso indevido a contas de e-mail e extração de dados, além do movimento lateral na infraestrutura, afetando outros dispositivos críticos.

As quatro vulnerabilidades do Exchange Server descobertas foram as seguintes:

  • CVE-2021-26855: CVSS 9.1: é uma vulnerabilidade SSRF (Falsificação de Solicitação do lado do Servidor), que resulta em requisições HTTP sendo criadas por atacantes não autenticados. Para que essa falha possa ser explorada, os servidores devem ser capazes de aceitar conexões não confiáveis através da porta 443.
  • CVE-2021-26857: CVSS 7.8: uma falha no Serviço de Mensageria Unificada do Exchange, permitindo que códigos arbitrários sejam implementados no SYSTEM do servidor. No entanto, essa vulnerabilidade deve ser combinada com outras ou o atacante deve possuir credenciais roubadas.
  • CVE-2021-26858: CVSS 7.8 e CVE-2021-27065: CVSS 7.8: vulnerabilidades de escrita de arquivo arbitrário pós-autenticação em caminhos de arquivo.

Essas vulnerabilidades estão sendo exploradas por um grupo chamado HAFNIUM, que operava na China e era apoiado pelo governo de Pequim, e têm como alvo, principalmente,organizações localizadas nos Estados Unidos. Porém, estima-se que ao menos outros 10 grupos hackers estejam explorando essas mesmas vulnerabilidades do Exchange, na forma de ransomwares ou cryptowares. Ainda não se sabe como os grupos descobriram a vulnerabilidade, e como a informação chegou nos demais grupos de hackers.

Além disso, foram encontrados scripts de ataque automatizados utilizados em provas de conceito, o que faz com que atacantes sem conhecimento possam explorar as vulnerabilidades e comprometer ainda mais servidores ao redor do mundo.

Os malwares desenvolvidos por esses grupos permitem a criação de uma RCE (Execução Remota de Código) pré-autenticação, o que faz com que os atacantes possam assumir total controle dos servidores sem acesso a nenhuma credencial do Exchange. Um dos principais malwares criados que permitem a exploração dessas falhas é o ransomware DoejoCrypt ou DearCry.

O DearCry utiliza uma combinação de criptografias AES-256 e RSA-2048, renomeando os arquivos com a extensão .CRYPT, e inclui um arquivo readme.txt com instruções de como a vítima pode recuperar seus arquivos originais.

Caso a vítima possua backup dos arquivos, uma possibilidade seria ignorar os pedidos de resgate e recuperar o ambiente. Já há registros de pedidos de resgate na casa das dezenas de milhares de dólares. No entanto, ainda que não haja pagamento de resgate e os arquivos sejam recuperados, existe a possibilidade de cópias dos arquivos infectados serem feitas pelo ransomware, o que pode resultar em vazamentos desses dados pelos atacantes maliciosos.  

Acredita-se que pelo menos 30 mil organizações de todos os tipos e tamanhos, apenas nos Estados Unidos, foram vítimas das campanhas orquestradas pelo HAFNIUM e outros grupos de hackers, baseadas nas falhas descobertas pela Microsoft. No entanto, o número total de empresas afetadas pode chegar a centenas de milhares no mundo todo, muitas das quais nem sabem que podem ter sido impactadas pelas vulnerabilidades.  

Para tentar proteger os usuários do Exchange, a Microsoft lançou uma ferramenta automatizada de correção das vulnerabilidades no mês de março. A ferramenta, desenvolvida principalmente para clientes que não possuem times específicos de segurança, permitia uma redução dos riscos associados à exploração das vulnerabilidades enquanto os patches de correção não eram devidamente aplicados. AMicrosoft estimou em 92% o percentual de organizações que aplicaram as correções de segurança relacionadas às vulnerabilidades ProxyLogon, até o final de março/2021.

Esse tipo de ataque reforça ainda mais a necessidade de as empresas investirem em times específicos de cibersegurança, como os red teams, para testar os controles de segurança, procurar por falhas e vulnerabilidades, e corrigi-las adequadamente, causando o menor impacto possível. Ao estruturarem essas equipes, é possível garantir a gestão adequada dos ativos, inclusive servidores de e-mail, além dos seus respectivos donos. Desta maneira é possível garantir que atualizações e correções sejam instaladas assim que lançadas pelos fornecedores. O resultado disso é uma redução da superfície de ataque e um menor risco de ataques cibernéticos, o que pode evitar sanções milionárias previstas por legislações de proteção de dados, como a LGPD e a GDPR, além da perda permanente de dados, o que pode afetar diretamente a continuidade dos negócios. 

Se o seu time de segurança ainda não realizou a instalação dos patches de segurança, é importante que façam o quanto antes. Vale lembrar que a instalação das atualizações pode não ser garantia de que os seus servidores Exchange não sejam afetados pela exploração de outras vulnerabilidades zero-day. Assim, recomenda-se uma varredura na infraestrutura para descobrir se o ambiente foi afetado pela exploração de outras falhas ainda não descobertas pelos fabricantes; e se descobertas, os times de segurança devem empregar esforços para identificar e responder a qualquer incidente de segurança detectado. Isso pode fazer a diferença entre um esforço mínimo de correção sem maiores prejuízos e perda de receitas e de confiança de clientes, parceiros e funcionários.