Cibercriminosos iniciaram exploração de Microsoft Exchange vulneráveis 5 minutos após as notícias se tornarem públicas

Cibercriminosos exploraram Exchange vulneráveis 5min após publicação das vulnerabilidades segundo a pesquisa da Palo Alto. A pesquisa sugere que o aluguel barato de serviços em nuvem permitiu que os ciberataques escolhessem os alvos rapidamente.

De acordo com uma análise de dados de ameaças de empresas coletadas entre janeiro e março deste ano, compilados no relatório de ameaças de superfície de ataque Cortex Xpanse de 2021 da Palo Alto Networks, os agentes de ameaças foram rápidos na busca de servidores Microsoft Exchange vulneráveis

Quando vulnerabilidades críticas em software amplamente adotado são tornadas públicas, isso pode desencadear uma corrida entre invasores e administradores de TI: uma para encontrar alvos adequados – especialmente quando um código de prova de conceito (PoC) está disponível ou um bug é fácil de explorar e a equipe de TI precisa realizar avaliações de risco e implementar os patches necessários, o que usualmente toma algum tempo e deixa o ambiente vulnerável neste tempo. 

O relatório diz que, em particular, as vulnerabilidades de Zero Day podem levar a varreduras de invasores em até 15 minutos após a divulgação pública. 

Os pesquisadores de Palo Alto dizem que os invasores “trabalharam mais rápido” no que diz respeito ao Microsoft Exchange, no entanto, e as varreduras foram detectadas em menos de cinco minutos. 

Em 2 de março, a Microsoft divulgou a existência de quatro vulnerabilidades de Zero Day no Exchange Server. Os quatro problemas de segurança, com impacto coletivo no Exchange Server 2013, 2016 e 2019, foram explorados pelo grupo chinês de ameaças persistentes avançadas (APT) Hafnium e outros APTs , incluindo LuckyMouse, Tick e Winnti Group, seguiram o exemplo rapidamente .

A divulgação de segurança desencadeou uma onda de ataques e, três semanas depois, eles ainda estavam em andamento. Na época , pesquisadores da F-Secure disseram que servidores vulneráveis ​​estavam “sendo hackeados mais rápido do que podemos contar“.

É possível que a disponibilidade geral de serviços baratos em nuvem tenha ajudado não apenas os APTs, mas também grupos menores de cibercriminosos e indivíduos a tirar proveito de novas vulnerabilidades à medida que aparecem.

A computação se tornou tão barata que um possível invasor precisa gastar apenas cerca de US $ 10 para alugar a capacidade da computação em nuvem para fazer uma varredura imprecisa de toda a Internet em busca de sistemas vulneráveis“, diz o relatório. “Sabemos pelo aumento de ataques bem-sucedidos que os adversários estão regularmente vencendo corridas para corrigir novas vulnerabilidades.”

A pesquisa também destaca o protocolo de área de trabalho remota (RDP) como a causa mais comum de fraqueza de segurança entre redes corporativas, respondendo por 32% dos problemas gerais de segurança, uma área especialmente problemática, pois muitas empresas fizeram uma rápida mudança para a nuvem no ano passado para para permitir que seus funcionários trabalhem remotamente. 

Isso é preocupante porque o RDP pode fornecer acesso de administrador direto aos servidores, tornando-o um dos gateways mais comuns para ataques de ransomware”, observa o relatório. “Eles representam um fruto mais fácil para os invasores, mas há motivos para otimismo: a maioria das vulnerabilidades que descobrimos podem ser facilmente corrigidas.

Principais descobertas

Aqui estão nossas principais descobertas dos pesquisadores da Palo Alto.

  • Os adversários estão trabalhando 24 horas por dia, 7 dias por semana – Os adversários trabalham sem parar para encontrar vulneráveis sistemas em redes corporativas que estão expostos no Internet aberta. A exposição de sistemas empresariais se expandiu dramaticamente no ano passado para oferecer suporte a funcionários remotos. Em um dia normal, os invasores realizaram uma nova verificação uma vez a cada hora, enquanto as empresas globais podem levar semanas.
  • Adversários correm para explorar novas vulnerabilidades – Assim que novas vulnerabilidades são anunciadas, os adversários pressa para tirar vantagem. As varreduras começaram em 15 minutos após Vulnerabilidades e Exposições Comuns (CVE) anúncios foram lançados entre  janeiro e Março. Os invasores trabalharam mais rápido para o Microsoft Exchange Servidor de zero dias, iniciando varreduras dentro de cinco minutos de Anúncio da Microsoft em 2 de março.
  • Sistemas vulneráveis ​​são amplamente difundidos – A Xpanse descobriu que as empresas globais encontraram novos vulnerabilidades graves a cada 12 horas ou duas vezes ao dia. Questões incluído acesso remoto inseguro (RDP, Telnet, SNMP, VNC, etc.), servidores de banco de  dados e exposições a dia zero vulnerabilidades em produtos como o Microsoft Exchange Balanceadores de carga de servidor e F5. Enfrentando um problema a cada 12 horas destaca a natureza efêmera da TI de hoje infraestrutura, onde não apenas a infraestrutura muda, mas o mesmo acontece com a pegada de vulnerabilidade.
  • RDP representou um terço de todos os problemas de segurança – O protocolo de área de trabalho remota foi responsável por cerca de um terço dos problemas gerais de segurança (32%). Outro comumente vulnerabilidades expostas incluem banco de dados configurado  incorretamente servidores, exposição a vulnerabilidades de dia zero de alto perfil de fornecedores como Microsoft e F5, junto com acesso remoto inseguro através de Telnet, Rede Simples Protocolo de gerenciamento (SNMP), Virtual Network Computing (VNC) e outros protocolos. Muitos desses de alto risco as exposições podem fornecer acesso direto ao administrador, se exploradas. Dentro na maioria dos casos, essas vulnerabilidades podem ser corrigidas facilmente, ainda eles representam frutas ao alcance de seus atacantes.
  • Nuvem compreendia as preocupações de segurança mais críticas – A nuvem foi responsável por 79% da maioria problemas críticos de segurança que encontramos em empresas globais. Isso destaca como a velocidade e a natureza da nuvem a computação gera  riscos na infraestrutura moderna, especialmente considerando a rapidez com que os ambientes em nuvem cresceram ao longo do ano passado, conforme as empresas mudaram a computação para fora das instalações para permitir o aumento do trabalho remoto durante o Pandemia do covid19.
Fonte: ZDNet & Palo Alto

Veja também:

About mindsecblog 1321 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Milhões colocados em risco por roteadores antigos e desatualizados

Deixe sua opinião!