BR +55 11 3069 3925 | USA +1 469 620 7643

Entenda as Vulnerabilidades do Microsoft Exchange Server

por | abr 9, 2021 | BLOG

Quem trabalha com tecnologia certamente já ouviu falar ou utiliza o Microsoft Exchange, a solução de servidor para e-mail e calendário da Microsoft. O Exchange é utilizado em todo o mundo por empresas de todos os tamanhos, sendo preferido por sua versatilidade e facilidade de uso, e por ele passam bilhões de mensagens eletrônicas diariamente. No entanto, mesmo com todas essas vantagens, o Exchange não está livre de falhas.

No começo do mês de março deste ano, a gigante criadora do Windows lançou correções de emergência para vulnerabilidades zero-day que foram descobertas e estavam sendo exploradas por atacantes maliciosos para instalar softwares maliciosos a partir do Exchange. Também chamadas de ProxyLogon, essas vulnerabilidades permitiam acesso indevido a contas de e-mail e extração de dados, além do movimento lateral na infraestrutura, afetando outros dispositivos críticos.

As quatro vulnerabilidades do Exchange Server descobertas foram as seguintes:

  • CVE-2021-26855: CVSS 9.1: é uma vulnerabilidade SSRF (Falsificação de Solicitação do lado do Servidor), que resulta em requisições HTTP sendo criadas por atacantes não autenticados. Para que essa falha possa ser explorada, os servidores devem ser capazes de aceitar conexões não confiáveis através da porta 443.
  • CVE-2021-26857: CVSS 7.8: uma falha no Serviço de Mensageria Unificada do Exchange, permitindo que códigos arbitrários sejam implementados no SYSTEM do servidor. No entanto, essa vulnerabilidade deve ser combinada com outras ou o atacante deve possuir credenciais roubadas.
  • CVE-2021-26858: CVSS 7.8 e CVE-2021-27065: CVSS 7.8: vulnerabilidades de escrita de arquivo arbitrário pós-autenticação em caminhos de arquivo.

Essas vulnerabilidades estão sendo exploradas por um grupo chamado HAFNIUM, que operava na China e era apoiado pelo governo de Pequim, e têm como alvo, principalmente,organizações localizadas nos Estados Unidos. Porém, estima-se que ao menos outros 10 grupos hackers estejam explorando essas mesmas vulnerabilidades do Exchange, na forma de ransomwares ou cryptowares. Ainda não se sabe como os grupos descobriram a vulnerabilidade, e como a informação chegou nos demais grupos de hackers.

Além disso, foram encontrados scripts de ataque automatizados utilizados em provas de conceito, o que faz com que atacantes sem conhecimento possam explorar as vulnerabilidades e comprometer ainda mais servidores ao redor do mundo.

Os malwares desenvolvidos por esses grupos permitem a criação de uma RCE (Execução Remota de Código) pré-autenticação, o que faz com que os atacantes possam assumir total controle dos servidores sem acesso a nenhuma credencial do Exchange. Um dos principais malwares criados que permitem a exploração dessas falhas é o ransomware DoejoCrypt ou DearCry.

O DearCry utiliza uma combinação de criptografias AES-256 e RSA-2048, renomeando os arquivos com a extensão .CRYPT, e inclui um arquivo readme.txt com instruções de como a vítima pode recuperar seus arquivos originais.

Caso a vítima possua backup dos arquivos, uma possibilidade seria ignorar os pedidos de resgate e recuperar o ambiente. Já há registros de pedidos de resgate na casa das dezenas de milhares de dólares. No entanto, ainda que não haja pagamento de resgate e os arquivos sejam recuperados, existe a possibilidade de cópias dos arquivos infectados serem feitas pelo ransomware, o que pode resultar em vazamentos desses dados pelos atacantes maliciosos.  

Acredita-se que pelo menos 30 mil organizações de todos os tipos e tamanhos, apenas nos Estados Unidos, foram vítimas das campanhas orquestradas pelo HAFNIUM e outros grupos de hackers, baseadas nas falhas descobertas pela Microsoft. No entanto, o número total de empresas afetadas pode chegar a centenas de milhares no mundo todo, muitas das quais nem sabem que podem ter sido impactadas pelas vulnerabilidades.  

Para tentar proteger os usuários do Exchange, a Microsoft lançou uma ferramenta automatizada de correção das vulnerabilidades no mês de março. A ferramenta, desenvolvida principalmente para clientes que não possuem times específicos de segurança, permitia uma redução dos riscos associados à exploração das vulnerabilidades enquanto os patches de correção não eram devidamente aplicados. AMicrosoft estimou em 92% o percentual de organizações que aplicaram as correções de segurança relacionadas às vulnerabilidades ProxyLogon, até o final de março/2021.

Esse tipo de ataque reforça ainda mais a necessidade de as empresas investirem em times específicos de cibersegurança, como os red teams, para testar os controles de segurança, procurar por falhas e vulnerabilidades, e corrigi-las adequadamente, causando o menor impacto possível. Ao estruturarem essas equipes, é possível garantir a gestão adequada dos ativos, inclusive servidores de e-mail, além dos seus respectivos donos. Desta maneira é possível garantir que atualizações e correções sejam instaladas assim que lançadas pelos fornecedores. O resultado disso é uma redução da superfície de ataque e um menor risco de ataques cibernéticos, o que pode evitar sanções milionárias previstas por legislações de proteção de dados, como a LGPD e a GDPR, além da perda permanente de dados, o que pode afetar diretamente a continuidade dos negócios. 

Se o seu time de segurança ainda não realizou a instalação dos patches de segurança, é importante que façam o quanto antes. Vale lembrar que a instalação das atualizações pode não ser garantia de que os seus servidores Exchange não sejam afetados pela exploração de outras vulnerabilidades zero-day. Assim, recomenda-se uma varredura na infraestrutura para descobrir se o ambiente foi afetado pela exploração de outras falhas ainda não descobertas pelos fabricantes; e se descobertas, os times de segurança devem empregar esforços para identificar e responder a qualquer incidente de segurança detectado. Isso pode fazer a diferença entre um esforço mínimo de correção sem maiores prejuízos e perda de receitas e de confiança de clientes, parceiros e funcionários.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Verizon Data Breach Investigation Report 2021: o que você precisa saber sobre esse relatório

A interação humana com as estruturas de TI representa uma das principais ameaças cibernéticas enfrentadas por organizações dos mais diversos portes e segmentos.  Essa é apenas uma das importantes informações extraídas do Verizon Data Breach Investigation Report 2021,...

Construindo uma indústria digital através do PAM

Com o avanço da tecnologia, os setores industriais encontram-se cada vez mais digitalizados por meio de soluções que otimizam os processos realizados nesses ambientes, reduzindo custos, eliminando falhas humanas e gerando mais produtividade.  Entre as tecnologias que...

O que fazer para diminuir os valores de seguro cibernéticos?

Quando se trata de segurança da informação, os riscos para as organizações estão cada vez maiores por uma série de fatores. Como exemplo, podemos mencionar o aumento no número de ataques cibernéticos, especialmente após a pandemia de covid-19, que acelerou a adoção em...

Alcançando a conformidade com a Lei Sarbanes-Oxley (SOX) usando controles de segurança cibernética

A Lei Sarbanes-Oxley (SOX) está associada principalmente à transparência da empresa e ao uso de controles contábeis e financeiros para proteger os investidores de relatórios financeiros fraudulentos. No entanto, é sempre importante lembrar o papel fundamental cada vez...

Gestão de Acesso Privilegiado (PAM): guia completo

Em 2021, houve um aumento de 50% no número de ataques em redes corporativas em relação ao ano anterior. É o que aponta a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point. E muitos desses ataques envolvem a exploração desse tipo de...
Copy link