A Microsoft abordou recentemente quatro vulnerabilidades de dia zero em seu servidor de e-mail Exchange. O impacto das falhas é bastante alarmante, já que a plataforma Exchange é uma das mais populares em infraestrutura empresarial.
Além disso, A Microsoft acredita que as falhas foram ativamente exploradas por um grupo de ameaças com base na China conhecido como Hafnium. O grupo de hackers tem buscado acesso persistente a sistemas de e-mail, Microsoft diz. Apesar dos ataques terem sido descritos como limitados e direcionados, outros grupos de ameaças também estão aproveitando os dias zero. As indicações de ataques datam do início de 2021.
Hackers Hafnium visando várias instituições
Vale ressaltar que esta é a primeira vez que a Microsoft menciona os hackers Hafnium publicamente. Esses hackers têm almejado várias instituições e especialistas, incluindo escritórios de advocacia, instalações de educação, ONGs, pesquisadores de doenças.
historicamente, A Hafnium visa principalmente entidades nos Estados Unidos com a finalidade de extrair informações de vários setores da indústria, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empreiteiros de defesa, think tanks de políticas e ONGs. Embora a Hafnium esteja baseada na China, conduz suas operações principalmente a partir de servidores virtuais privados alugados (VPS) nos Estados Unidos, diz Tom Burt, vice-presidente corporativo de segurança do cliente & Confie na Microsoft.
A Microsoft trabalhou rapidamente para corrigir os exploits do Hafnium. Contudo, outros atores do estado-nação e hackers devem tirar proveito de sistemas sem correção. Aplicar os patches o mais rápido possível minimizará o risco de qualquer comprometimento relacionado ao Exchange zero-day.
Mais sobre os quatro servidores de e-mail do Exchange zero-day
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065
As vulnerabilidades que afetam o Microsoft Exchange Server são CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065. Felizmente, O Exchange Online não é afetado. As versões afetadas incluem Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, e Microsoft Exchange Server 2019.
As falhas são usadas como parte de uma cadeia de ataque, Microsoft avisa. Para ser iniciado com sucesso, um ataque requer uma conexão não confiável a uma porta específica do servidor Exchange, 443. Esta lacuna pode ser protegida restringindo a conexão não confiável, ou configurando uma VPN para separar o servidor do acesso externo. Contudo, esses truques de mitigação oferecem apenas proteção parcial. A empresa avisa que outras partes do ataque em cadeia podem ser acionadas se um invasor já tiver acesso ou puder convencer um administrador a executar um arquivo malicioso.
É curioso mencionar que em março passado, grupos de hackers patrocinados pelo estado estavam explorando CVE-2020-0688, outra vulnerabilidade em servidores de e-mail Microsoft Exchange. Então, em maio, o servidor Exchange foi atacado pelo chamado Trojan Valar. O ataque de malware tinha como alvo as vítimas principalmente na Alemanha e nos EUA. Foi classificado como uma ameaça avançada entregue aos sistemas vulneráveis em uma forma de vários estágios.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: