Agências de segurança cibernética alertam sobre grande hack do Microsoft Exchange e recomendam patching imediato iniciando pelos servidores expostos para a web.
O Canadian Centre for Cyber Security (CCCS) está alertando sobre o ransomware, chamado DearCry, que visa o serviço de e-mail Exchange da Microsoft. O hack é extenso e Abigail Bimman explica por que não está claro se as organizações canadenses foram afetadas.
Os sistemas de computador no Canadá estão entre os afetados por um hack massivo no serviço de email Microsoft Exchange no e-mail início deste mês, informou o Centro Canadense de Segurança Cibernética (CCCS) na terça-feira, 16 de março.
Em uma atualização postada no site da agência, o CCCS disse que uma nova família de ransomware, conhecida como DearCry, está sendo “aproveitada por atores que exploram as vulnerabilidades do Exchange divulgadas recentemente”.
De acordo com o CCCS, além do DearCry, “várias provas de conceito que alavancam as vulnerabilidades do Exchange, resultando na execução remota de código, foram disponibilizadas publicamente”. “Essas vulnerabilidades estão sendo aproveitadas para ganhar uma posição dentro da rede de uma organização para atividades mal-intencionadas que incluem, mas não se limitam a ransomware e exfiltração de dados”, diz a atualização.
fonte: https://globalnews.ca/video/rd/ccea0712-8779-11eb-bfc7-0242ac110005/?jwsource=cl
O CCCS disse que alguns sistemas no Canadá foram “ainda mais comprometidos com malware“. “Todas as organizações são incentivadas a consultar as seções de Indicadores de comprometimento e mitigação atualizadas deste Alerta para orientação adicional de detecção, mitigação e pós-comprometimento.”
Em um e-mail para o Global News do Canadá, na noite de terça-feira, o CCCS disse que seu Cyber Center “não comenta relatórios de organizações ou indivíduos canadenses sobre incidentes cibernéticos“. “Como resultado, não temos mais nenhuma informação a acrescentar sobre potenciais vítimas e / ou alvos”, dizia o e-mail.
Em uma postagem de blog no início deste mês , o vice-presidente corporativo da Microsoft, Tom Burt, anunciou que a empresa havia descoberto sérias vulnerabilidades em seu software Exchange.
A empresa identificou Hafnuim como o ator da ameaça por trás do ataque. “A Hafnium opera na China e é a primeira vez que discutimos a sua atividade. É um ator altamente qualificado e sofisticado”, diz a postagem do blog.
Burt disse que, embora a Hafnuim esteja sediada na China, ela “conduz suas operações principalmente a partir de servidores virtuais privados alugados (VPS) nos Estados Unidos“.
Recentemente, disse ele, Hafnium se envolveu em uma série de ataques “usando exploits previamente desconhecidos com tageting no local do software Exchange Server”.
De acordo com Burt, os hackers obtêm acesso a um Exchange Server usando senhas roubadas ou se disfarçando como alguém que deveria ter acesso. Em seguida, disse ele, “criaria o que é chamado de shell da web para controlar remotamente o servidor comprometido”. “Terceiro, ele usaria esse acesso remoto – executado a partir de servidores privados com base nos Estados Unidos – para roubar dados da rede de uma organização”, escreveu ele.
“Recomendamos fortemente que todos os clientes do Exchange Server apliquem essas atualizações imediatamente”, diz a postagem do blog. “O Exchange Server é usado principalmente por clientes empresariais, e não temos evidências de que as atividades da Hafnium tenham como alvo consumidores individuais ou que essas explorações tenham impacto em outros produtos da Microsoft.”
No entanto, Burt disse que “aplicar imediatamente [os patches] é a melhor proteção contra esse ataque“.
Um ‘hack enorme louco’
Falando em uma entrevista coletiva em 5 de março, a secretária de imprensa da Casa Branca, Jen Psaki, disse que o ataque cibernético poderia ter “impactos de longo alcance“. “Estamos preocupados com o grande número de vítimas e estamos trabalhando com nossos parceiros para entender o alcance disso, então é um processo contínuo”, disse ela aos repórteres.
“Os proprietários de rede também precisam considerar se já foram comprometidos e devem tomar as medidas adequadas imediatamente”, disse Psaki.
Uma fonte familiarizada com a resposta do governo dos EUA disse à Reuters na sexta-feira, 12 de março, que mais de 20.000 organizações americanas foram comprometidas na violação.
Em uma série de tweets na semana passada, Christopher Krebs, ex-diretor da Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA), chamou o ataque de “um grande hack maluco“.
So what do you do now? (1) patch (if you haven't already), (2) assume you're owned, look for activity, (3) if you aren't capable of hunting or can't find a team to help, disconnect & rebuild, (4) move to the cloud, (5) pour one out for IR teams, they've had a rough year(s?).
— Chris Krebs (@C_C_Krebs) March 6, 2021
Krebs disse primeiro, se você acha que foi afetado, você deve corrigir “se ainda não o fez“. Em seguida, ele disse para procurar atividade e contratar uma equipe para “ajudar, desconectar e reconstruir”.
Clique e saiba mais dos produtos Sophos com o seu representante MindSec
Detalhes
A Microsoft publicou atualizações de segurança fora de banda para abordar vulnerabilidades críticas em vários produtos do Exchange:
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
A Volexity também publicou um blog detalhando a atividade observada de atores que exploram remotamente uma vulnerabilidade de falsificação de solicitação do lado do servidor de dia zero (SSRF) no Microsoft Exchange (CVE-2021-26855). Este método de exploração não requer autenticação e pode ser realizado por meio de acesso remoto a um servidor Exchange externo vulnerável via HTTPS.
A Microsoft relatou que as seguintes vulnerabilidades foram usadas por atores para obter acesso aos sistemas das vítimas:
- CVE-2021-26855 é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permitiu ao ator enviar solicitações HTTP arbitrárias e autenticar como o servidor Exchange.
- CVE-2021-26857 é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis controláveis pelo usuário são desserializados por um programa. Explorar essa vulnerabilidade deu aos atores a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.
- CVE-2021-26858 é uma vulnerabilidade de gravação de arquivo arbitrária pós-autenticação no Exchange. Se os atores pudessem se autenticar no servidor Exchange, eles poderiam usar essa vulnerabilidade para gravar um arquivo em qualquer caminho do servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
- CVE-2021-27065 é uma vulnerabilidade de gravação de arquivo arbitrária pós-autenticação no Exchange. Se um ator puder se autenticar no servidor Exchange, poderá usar essa vulnerabilidade para gravar um arquivo em qualquer caminho do servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
Depois de explorar essas vulnerabilidades para obter acesso inicial, os agentes mal-intencionados implantaram shells da web no servidor comprometido. Os shells da Web permitem que os atores roubem dados e executem ações maliciosas adicionais que levam a um comprometimento ainda maior.
Indicadores de Compromisso
Tanto a Microsoft quanto a Volexity forneceram uma análise técnica da atividade, bem como indicadores de comprometimento para que os defensores determinem o impacto da vulnerabilidade.
- Operação Exchange Marauder: Exploração Ativa de Múltiplas Vulnerabilidades de Dia Zero do Microsoft Exchange
https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/ - HAFNIUM visando servidores Exchange com exploits de 0 dia
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
Em 8 de março de 2021, a Microsoft lançou um feed de indicadores observados de comprometimento, ou seja, hashes de malware e caminhos de arquivos maliciosos conhecidos observados em campanhas que aproveitam essas vulnerabilidades.
O Cybersecurity and Infrastructure Security (CISA) atualizou recentemente seu Alerta (AA21-062A) sobre a orientação para as vulnerabilidades do Microsoft Exchange Server. Além disso, eles forneceram relatórios de análise de malware e informações adicionais sobre táticas, técnicas e procedimentos de agentes mal-intencionados.
O Cyber Center recomenda que as organizações continuem a revisar essas organizações em busca de atualizações e recomendações para melhor defender suas redes, sistemas baseados em host e possíveis opções de resposta ao comprometimento.
Mitigação
O Cyber Center recomenda que as organizações priorizem servidores Exchange externos e apliquem imediatamente as atualizações necessárias. Todos os servidores externos afetados devem ter o acesso remoto temporariamente desabilitado até que os patches possam ser aplicados. Todos os servidores Exchange afetados adicionais devem ser corrigidos após a conclusão dos servidores externos de prioridade mais alta.
Para limitar a ocorrência de um comprometimento inicial, a proteção futura dos sistemas pode ser realizada por meio da restrição de conexões não confiáveis, isolando os servidores Exchange de conexões externas ou usando uma rede privada virtual (VPN). A Microsoft relata que o uso dessas atenuações protegerá apenas contra a parte inicial do comprometimento; outras partes da cadeia podem ser acionadas se um ator já tiver acesso ou puder convencer um administrador a executar um arquivo malicioso.
A Microsoft lançou vários scripts para ajudar nos esforços de determinar o comprometimento do sistema:
- Test-ProxyLogon.ps1: verifica os arquivos de log do Exchange em busca de IOCs associados ao aproveitamento das 4 vulnerabilidades.
- Ferramenta de atenuação local do Exchange (EOMT): a Microsoft relatou que esta é a maneira mais eficaz de ajudar a proteger e reduzir rapidamente os servidores Exchange das organizações antes da aplicação de patches.
- http-vuln-cve2021-26855.nse: script NMAP usado para determinar se o URL especificado é vulnerável a CVE-2021-26855.
Embora a Microsoft tenha declarado que não houve impacto observado na funcionalidade do servidor Exchange usando-os, os administradores são incentivados a revisar todos os conselhos e orientações antes de executar qualquer uma das ferramentas mencionadas.
O Cyber Centre recomenda que as organizações analisem em consultoria conjunta de esforços de pesquisa colaborativa pelas autoridades de segurança cibernética de cinco países: Austrália, Canadá, Nova Zelândia, Reino Unido e Estados Unidos. Ele destaca abordagens técnicas para descobrir atividades maliciosas e inclui etapas de mitigação de acordo com as práticas recomendadas. O objetivo deste relatório é aprimorar a resposta a incidentes entre parceiros e administradores de rede, além de servir como um manual para investigação de incidentes.
Fonte: Global News
Clique e saiba mais sobre o Unisys Stealth com seu representante MindSec
Veja também:
- Quais habilidades são necessárias para trabalhar em Segurança Cibernética?
- Vulnerabilidade do kernel do Linux permite que invasores locais escalem privilégios
- Ataque de phishing usa reCAPTCHA falso do Google
- Ferramenta de mitigação one-click para vulnerabilidade do Exchange Server
- Crime cibernético custará ao mundo US$ 10,5 trilhões anualmente até 2025
- Modelo Governança de 3 linhas de defesas do IIA
- Apple corrige CVE-2021-1844 que afeta iOS, macOS, watchOS e Safari
- NSA lança orientação sobre arquitetura Zero-Trust
- Proposta de novo adiamento da LGPD é inconstitucional
- Incêndio em Data Center OVH na França destrói milhares de sites
- CEOs serão responsabilizados pelos incidentes de segurança
- Quatro práticas para prevenir o ransomware
Deixe sua opinião!