Microsoft lança patches 4 falhas adicionais do Exchange

14/04/2021 mindsecblog Notícias 3

Microsoft lança patches 4 falhas adicionais do Exchange. NSA diz que empresas que usam o Exchange local devem priorizar esses patches.

A Microsoft lançou patches para quatro novas vulnerabilidades críticas no software Exchange Server local da empresa. As falhas foram descobertas pela Agência de Segurança Nacional dos Estados Unidos e divulgadas à Microsoft.

“Os eventos recentes mostraram que a higiene da segurança e o gerenciamento de patches são mais importantes do que nunca, pois o setor trabalha para se proteger contra atividades criminosas cibernéticas comuns e sofisticadas. Em primeiro lugar, é realmente importante que nossos clientes tenham a versão mais recente do software, com atualizações de segurança atualizadas”

“O lançamento deste mês inclui uma série de vulnerabilidades críticas que recomendamos que você priorize, incluindo atualizações para proteger contra novas vulnerabilidades em servidores Exchange locais. Essas novas vulnerabilidades foram relatadas por um parceiro de segurança por meio da divulgação de vulnerabilidades coordenadas padrão e encontradas internamente pela Microsoft.“, complementa.

“Não vimos as vulnerabilidades usadas em ataques contra nossos clientes. No entanto, dado o foco recente do adversário no Exchange, recomendamos aos clientes instalar as atualizações o mais rápido possível para garantir que permaneçam protegidos dessas e de outras ameaças“, disse o Centro de Resposta de Segurança da Microsoft .

A NSA juntou-se à Microsoft para instar os usuários a fazer as atualizações imediatamente.

“O governo dos Estados Unidos dará o exemplo – exigimos que todas as agências também atualizem imediatamente seus servidores Exchange“, disse Anne Neuberger, assessora de segurança nacional adjunta para tecnologia cibernética e emergente. “A segurança cibernética é uma prioridade para a administração Biden e estamos comprometidos em compartilhar informações acionáveis e oportunas para ajudar o público americano a operar online com segurança.“

A Microsoft corrigiu as quatro vulnerabilidades iniciais do ProxyLogon no Exchange em uma atualização out-of-band em 2 de março e, em seguida, relançou os patches junto com as atualizações de segurança de março. A empresa acredita que um grupo com sede na China que chama de Hafnium explorou as falhas para obter acesso persistente aos sistemas de e-mail.

A vulnerabilidade em questão ( CVE-2020-0688 ) existe no painel de controle do Exchange, servidor de correio e servidor de calendário da Microsoft. A falha, decorrente do fato de o servidor não conseguir criar corretamente chaves exclusivas no momento da instalação, abre servidores para invasores autenticados, que poderiam executar códigos remotamente com privilégios de sistema.

Pesquisadores usaram o Project Sonar, uma ferramenta de varredura, para analisar os servidores Exchange da Internet e descobrir quais eram vulneráveis à falha. Dos 433.464 servidores Exchange voltados para a Internet observados, pelo menos 357.629 estavam vulneráveis (em 24 de março).

A RiskIQ estimou que, em meados de março, cerca de 400.000 servidores Exchange locais estavam vulneráveis. A Microsoft informou que em 26 de março, mais de 92%, ou cerca de 368.000, foram corrigidos ou atenuados.

Vulnerabilidades adicionais deo Exchange

As vulnerabilidades rastreadas como CVE-2021-28480 , CVE-2021-28481 , CVE-2021-28482 e CVE-2021-28483 podem levar à execução remota de código se explorados, diz a Microsoft. Em seu índice de explorabilidade, a empresa classifica cada vulnerabilidade como “exploração mais provável“, que é apenas um slot abaixo da classificação mais severa – “exploração detectada“.

Além disso, duas das vulnerabilidades são um pouco mais fáceis de explorar do que as outras.

“Duas das quatro vulnerabilidades (CVE-2021-28480, CVE-2021-28481) são pré-autenticação, o que significa que um invasor não precisa se autenticar no servidor Exchange vulnerável para explorar a falha“, disse Satnam Narang, engenheiro de pesquisa da equipe com a Tenable. “Com o intenso interesse no Exchange Server desde o mês passado, é crucial que as organizações apliquem esses patches do Exchange Server imediatamente.”

Chris Goettl, diretor sênior de segurança da Ivanti, não acredita que essas sejam as últimas das novas vulnerabilidades do Exchange a serem divulgadas.

“No encalço de uma atividade de exploração séria no Microsoft Exchange, você pode esperar que os analistas de segurança da NSA estejam encontrando mais vulnerabilidades”, disse Goettl, e acrescenta que “os agentes de ameaças também estão circulando em torno do Microsoft Exchange para ver o que mais eles podem encontrar também . “

Dia Zero

A Microsoft também lançou um patch para a vulnerabilidade de zero day CVE-2021-28310 no Desktop Window Manager que foi descoberto pela Kaspersky , que acredita que a vulnerabilidade está sendo usada livremente , possivelmente por vários grupos de ameaças.

“É uma escalada de exploração de privilégio que provavelmente é usada junto com outras explorações de navegador para escapar de sandboxes ou obter privilégios de sistema para acesso posterior”, diz Kaspersky.

Os pesquisadores da Kaspersky dizem que não conseguiram capturar uma cadeia completa, então não sabem se a exploração está sendo usada com outro zero day ou associada a vulnerabilidades conhecidas e corrigidas. É uma vulnerabilidade de gravação fora dos limites em dwmcore.dll, que faz parte do Desktop Window Manager.

Devido à falta de verificação de limites, os invasores podem criar uma situação que lhes permite gravar dados controlados em um deslocamento controlado usando DirectComposition API, diz Kaspersky. “Isso permitiria a um invasor executar código arbitrário, criar novas contas com privilégios totais, acessar e / ou excluir dados e instalar programas”, diz Narang.

A Microsoft diz que a “segurança é uma jornada que evolui com as mudanças no cenário de ameaças. Continuamos comprometidos com nossos parceiros na comunidade de segurança para construir resiliência como uma comunidade global por meio de atualizações regulares e melhores práticas de segurança, como nossa abordagem Zero Trust, defesa em camadas em profundidade e assumir a filosofia de violação, que comprovadamente reduzem o impacto de um ataque. Nós encorajamos outros a fazerem o mesmo”.

Mais informações sobre as melhores práticas indicadas pela Microsoft podem ser encontradas nos seguintes recursos: