A Check Point Research (CPR) registrou centenas de tentativas de exploração de vulnerabilidade contra organizações em todo o mundo relacionadas às quatro vulnerabilidades de dia zero que atualmente afetam o Microsoft Exchange Server. Nas últimas horas, a CPR observou que o número de tentativas de exploração nas empresas que rastreia dobra a cada duas ou três horas.
Os pesquisadores da CPR descreveram também as vulnerabilidades divulgadas, as empresas visadas por país e por setor, bem como as recomendações para prevenir os ataques que ainda estão por vir. Especialistas em cibersegurança em todo o mundo estão fazendo extensos esforços de prevenção para combater os cibercriminosos que produzem explorações para se aproveitarem dos pontos fracos do Microsoft Exchange.
De todas as empresas atacadas, 17% são dos setores público/Governo e militar e 14% do setor da indústria/manufatura. Do ponto de vista geográfico, o país mais atacado é a Turquia (19%), seguida pelos Estados Unidos (18%), Itália (10%), Alemanha (7%) e o Brasil (4%).
Por trás das linhas dos dias zero
No início de março, a Microsoft lançou um patch de emergência para o Exchange Server, o servidor de e-mail mais popular do mundo. Todos os e-mails de entrada e saída, convites de calendário e praticamente qualquer informação ou tarefa acessada no Outlook passam pelo servidor Exchange.
A Orange Tsai (Cheng-Da Tsai) da DEVCORE, uma empresa de segurança com sede em Taiwan, relatou duas vulnerabilidades em janeiro. Mesmo sem conhecimento da magnitude dos eventos, a Microsoft investigou mais a fundo seu servidor Exchange. Finalmente, a investigação os levou a descobrir cinco outras vulnerabilidades críticas que permitiam a um cibercriminoso ler e-mails de um servidor Exchange sem ter de autenticar ou acessar a conta de e-mail de um usuário. Além disso, as diferentes vulnerabilidades permitem que os cibercriminosos assumam o controle total do próprio servidor.
Uma vez que um cibercriminoso assume o controle do servidor Exchange, ele pode abrir a rede para a Internet e acessá-la remotamente. Como muitos servidores Exchange estão conectados à Internet (especificamente à função Outlook Web Access) e integrados à rede geral, isso representa um risco crítico de segurança para milhões de empresas.
Se o servidor Microsoft Exchange de uma empresa tiver acesso à Internet e não tiver sido atualizado com os patches mais recentes ou protegido por software de fornecedores de cibersegurança, deve-se considerar que o servidor está comprometido. Os servidores comprometidos podem permitir que um cibercriminoso não autorizado extraia todos os e-mails corporativos e execute códigos maliciosos dentro de uma empresa com permissões elevadas.
Como funcionam essas vulnerabilidades
• CVE-2021-26855 – é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que o cibercriminoso envie solicitações HTTP arbitrárias e se autentique como o servidor Exchange.
• CVE-2021-26857 – é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis, controlados pelo usuário, são extraídos por um programa. A exploração desta vulnerabilidade dá ao HAFNIUM (grupo de hackers) a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.
• CVE-2021-26858 – é uma vulnerabilidade arbitrária de gravação de arquivo após autenticação no Exchange. Se o HAFNIUM pudesse autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
• CVE-2021-27065 – é uma vulnerabilidade pós-autenticação de gravação de arquivo arbitrária no Exchange. Se HAFNIUM pudesse autenticar com o servidor Exchange, ele poderia usar esta vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
"Qualquer organização cujo servidor Microsoft Exchange esteja exposto à Internet que não tenha ainda atualizado o seu software com os mais recentes patches da Microsoft ou que não conte com um fornecedor terceiro de cibersegurança, como a Check Point, corre um grande risco," alerta Claudio Bannwart, country manager da Check Point Brasil. "Com um servidor comprometido, a porta está aberta a acessos não autorizados e incorporação de códigos maliciosos na sua organização. Um atacante pode extrair os seus e-mails corporativos ou a executar atividades danosas sem o seu conhecimento. Para as empresas que estão ainda em risco, tomar medidas preventivas no servidor Exchange não é suficiente. É necessário fazer uma avaliação completa das suas redes ativas e procurar por potenciais ameaças", recomenda Bannwart.
Como as organizações podem se prevenir e proteger no futuro
1. Instalar imediatamente os devidos patches lançados pela Microsoft. Esta atualização não é automática, o que significa que a rede corporativa só estará protegida quando a atualização for feita manualmente.
2. Prevenir é o melhor remédio. Utilize o Intrusion Prevention System (IPS) para garantir proteção contra tentativas de exploração de falhas em sistemas ou aplicações vulneráveis.
3. Proteger os endpoints. O antivírus convencional é uma solução altamente eficaz na prevenção contra os ataques conhecidos, já que protege contra a maioria dos malwares. Para evitar falhas de segurança ou vazamento de dados, é importante investir em uma solução de proteção de endpoints abrangente que garanta os mais altos níveis de segurança.