Ataques ao Exchange Server se espalham após a divulgação de falhas. Previsão de uso de email com chamadas para backdoors, bem como instalação de ransomware, criptomineradores.
Bank Info Security trouxe a notícia de que um dia depois que a Microsoft revelou quatro falhas de dia zero nos servidores de e-mail do Microsoft Exchange, os invasores estão em uma ampla busca por máquinas vulneráveis, dizem alguns especialistas em segurança.
E se algumas agências federais dos EUA não estiveram ocupadas o suficiente com a crise da SolarWinds, há uma nova tarefa urgente em mãos: procurar sinais de que seus servidores Exchange possam ter sido comprometidos.
A Cybersecurity and Infrastructure Security Agency (CISA) emitiu uma diretriz de emergência na quarta-feira, 03 de março, ordenando que as agências vasculhem em busca de pistas forenses de que os servidores possam ter sido comprometidos (veja: Microsoft Patches Quatro Falhas de Dia Zero no Exchange ).
As agências devem procurar na memória do sistema, logs de eventos de web e registro de sistemas, por sinais de exploração, diz a CISA. Se não houver sinais de exploração, as organizações devem corrigir imediatamente. CISA tem um guia com a lista mais recente de indicadores de ataque.
Se houver sinais de exploração, será um trabalho pesado. A CISA diz que os servidores locais do Exchange devem ser desconectados imediatamente e não reconectados ao domínio corporativo. Eventualmente, a CISA direcionará as agências para reconstruir seu sistema operacional Exchange Service e reinstalar o pacote de software.
A Microsoft lançou patches na terça-feira, dia 02 de março, uma semana antes de seu patch normal para as vulnerabilidades: CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 e CVE-2021-27065 .
Clique para contactar a MindSec
Ataques aumentam
Além do governo federal dos EUA, o impacto das vulnerabilidades continua a crescer – e não apenas entre os setores-alvo nomeados pela Microsoft. A empresa diz que esses grupos incluem pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empresas de defesa, grupos de reflexão sobre políticas e organizações não governamentais.
A Volexity, que contribuiu com pesquisas para as descobertas de vulnerabilidade, notou pela primeira vez a atividade de exploração contra seus clientes por volta de 6 de janeiro. Essa atividade repentinamente aumentou agora que as vulnerabilidades são públicas, diz Steven Adair, CEO e fundador da empresa.
“A exploração já parece ter se espalhado para vários grupos APT chineses que se tornaram bastante agressivos e barulhentos – uma mudança marcante de como começou com o que estávamos vendo“, diz ele.
Segundo o Bank Info Security, a empresa de detecção de ameaças Huntress afirma ter visto comprometimentos de servidores Exchange sem correção em pequenos hotéis, uma empresa de sorvetes, um fabricante de eletrodomésticos e o que chama de “comunidades de cidadãos idosos“.
“Também testemunhamos muitas vítimas do governo municipal, provedores de saúde, bancos / instituições financeiras e vários provedores de eletricidade residenciais”, escreve John Hammond , pesquisador sênior de ameaças da Huntress.
O impacto de ataques mais difundidos pode levar a problemas que vão além de backdoors nas contas de e-mail . Kevin Beaumont, analista sênior de inteligência de ameaças da Microsoft, tuitou que os ataques podem incluir campanhas de ransomware. Adair diz que também há uma grande chance de criptomineradores serem instalados.
Additional info on Exchange Server zero day exploitation available for Microsoft 365 customers in Threat Analytics portal, including a ten page report that about broke my brain. https://t.co/Jmdmcu6gGS pic.twitter.com/QLHoGWVc63
— Kevin Beaumont (@GossiTheDog) March 2, 2021
Beaumont criou uma ferramenta para fazer a varredura de redes em busca de servidores Exchange vulneráveis.
Hammond escreve em uma postagem do blog que o Huntress viu mais de 300 shells da web instalados em 2.000 servidores Exchange vulneráveis, a maioria dos quais com antivírus ou software de detecção e resposta de endpoint instalado que aparentemente não detectou o ataque. “Isso não deve ser uma grande surpresa, já que a prevenção perfeita é ridiculamente difícil, mas não sugere que essas soluções não sejam investimentos sólidos“, diz ele.
A maioria atinge os EUA, mas ataques são globais
A Microsoft atribuiu os ataques a um grupo baseado na China que chama de Hafnium, que estava explorando as falhas. A Microsoft descreveu os ataques como “limitados e direcionados”.
Gráfico da ESET de alvos que foram atingidos por invasores explorando quatro vulnerabilidades do servidor Exchange (Fonte: ESET)
Mas logo após a divulgação das vulnerabilidades, as empresas de segurança disseram que outros grupos de hackers estavam usando pelo menos algumas das falhas.
A ESET, por exemplo, tweetou que CVE-2021-26855 foi usado por três grupos: LuckyMouse , Tick e Calypso . A ESET afirma que a maioria das organizações que detectou como alvos estão nos Estados Unidos, mas há ataques em outras regiões, incluindo Europa, Ásia, Oriente Médio e inclusive no Brasil.
Adair diz que a Volexity viu casos em que os invasores usaram seus pontos de apoio em troca de movimento lateral. Isso significa que os esforços de limpeza dessas organizações terão que ir muito mais fundo para garantir que os invasores ainda não tenham backdoors nos sistemas.
“Trabalhamos em vários casos em que os invasores mudaram para outros sistemas na rede”, diz ele. “Eles fizeram isso tanto para obter credenciais / dados quanto para colocar backdoors adicionais (principalmente shells da web) em mais sistemas“.
Fonte: Bank Info Security
Clique para contactar a MindSec
Veja também:
- Os ciberataques trabalham 24/7. Mas e a sua equipe de segurança?
- Soluções de segurança de última geração para proteção cibernética
- Ransomware: cuidado com as táticas, ferramentas e procedimentos
- Como demonstrar que seu site é seguro pode aumentar as vendas do seu negócio
- Sistemas de controle industrial: o novo alvo do malware
- Resolução BACEN 4893 substitui 4658 – Veja o que muda.
- Você acha que sabe tudo sobre pen-testing de segurança na nuvem?
- Mais de 6.700 servidores VMware estão vulneráveis online a CVE 9.8
- Etapas e estruturas de resposta a incidentes para SANS e NIST
- Assista a gravação do Webinar: Business, Security e Legal no bloco da LGPD
- 5 principais ferramentas de segurança cibernética de código aberto para 2021
- ANPD inicia processo de regulamentação sobre incidentes de segurança
Deixe sua opinião!