Ransomware do Exchange tem atividade ‘limitada’ até agora. Outras ações de remediação são essenciais para se proteger contra riscos de longo prazo.
A Microsoft afirma que a atividade de ransomware contra servidores Exchange locais comprometidos continua limitada, mas avisa que as organizações estão longe de sair de perigo.
As organizações que corrigiram as quatro falhas do Exchange também devem realizar ações de remediação para garantir que webshells ou outros backdoors não sejam deixados para trás, informou a Microsoft em uma atualização de quinta-feira, dia 25 de março.
Os invasores estão coletando credenciais para possível uso posterior, então, mesmo que as organizações tenham corrigido seus servidores, os riscos de comprometimento de longo prazo permanecem, acrescenta a empresa. Esses riscos incluem ataques de ransomware, infiltrações de criptominer ou invasores movendo-se lateralmente para as redes das organizações.
“Muitos dos sistemas comprometidos ainda não receberam uma ação secundária, como ataques de ransomware operados por humanos ou exfiltração de dados, indicando que os invasores podem estar estabelecendo e mantendo seu acesso para possíveis ações posteriores“, escreve a equipe 365 Defender Threat Intelligence da Microsoft em um blog. Isso significa que as organizações precisam garantir que todas as portas dos fundos sejam removidas.
Segundo o blig a Microsoft continua monitorando e investigando ataques que exploram as vulnerabilidades locais do Exchange Server. Esses ataques agora são executados por vários agentes de ameaças, desde cibercriminosos com motivação financeira até grupos patrocinados pelo Estado. Para ajudar os clientes que não conseguem instalar as atualizações imediatamente, a Microsoft lançou uma ferramenta de um clique que atenua automaticamente uma das vulnerabilidades e verifica os servidores em busca de ataques conhecidos. A Microsoft também incorporou esse recurso ao Microsoft Defender Antivirus , expandindo o alcance da mitigação.
A Microsoft afirma que virão uma diminuição significativa no número de servidores ainda vulneráveis -
A Agência de Segurança e Infraestrutura dos EUA divulgou dois novos relatórios de análise de malware descrevendo variações do webshell China Chopper observadas em servidores Exchange comprometidos.
A Microsoft prevê que os sistemas que ainda possuem backdoors “se tornarão parte da complexa economia do crime cibernético, onde operadoras de ransomware adicionais e afiliadas tirarão proveito disso“.
Embora alguns dos ransomwares implantados observados até agora tenham sido em pequena escala ou com bugs, grupos mais habilidosos podem aproveitar credenciais já roubadas para outros ataques, diz a Microsoft
“Se um servidor não estiver sendo executado em uma configuração de privilégio mínimo, o roubo de credencial pode fornecer um retorno significativo sobre o investimento para um invasor, além de seu acesso inicial a e-mail e dados”, diz a Microsoft.
No radar: Pydomer, DoejoCrypt e Lemon Duck
A Microsoft relata em seu post 3 das maiores ameaças que foram identificadas na exploração da falha dos servidores Exchange, são eles : os Ransomwares Pudomer e DoejoCrypt e a Botnet Lemon Duck .
A família de ransomware Pydomer, que tinha como alvo as vulnerabilidades do Pulse Secure VPN, teve um início tardio na segmentação dos servidores Exchange, diz a Microsoft. Sua atividade começou para valer entre 18 e 20 de março, e o grupo lançou webshells em pelo menos 1.500 sistemas. Mas nem todos esses sistemas foram resgatados.
O Pydomer despeja o conteúdo da memória do Local Security Authority Subsystem Service, ou LSASS , que é um processo do Windows que contém nomes de usuários e senhas locais. Conforme observado pela empresa de segurança Deep Instinct , os dumps LSASS eram uma técnica regular usada pelo Trickbot. “As credenciais altamente privilegiadas obtidas de um sistema Exchange provavelmente contêm contas de administrador de domínio e contas de serviço com privilégios de backup, o que significa que esses invasores podem executar ações de ransomware e exfiltração contra as redes que comprometeram muito depois de o servidor Exchange ser corrigido e até mesmo entrar por meio de outro significa“, escreve a Microsoft.
DoejoCrypt foi o primeiro ransomware a aparecer para tirar vantagem das vulnerabilidades, começando a criptografar em números limitados logo após o lançamento dos patches. Os atacantes de ransomware costumam usar várias ferramentas e explorações para obter acesso inicial, incluindo a compra de acesso por meio de um corretor ou “revendedor” que vende o acesso a sistemas já comprometidos. Os ataques DoejoCrypt começam com uma variante do shell da web Chopper sendo implantado no servidor Exchange pós-exploração.
O Lemon Duck, é uma botnet que usa máquinas comprometidas para minerar criptomoedas. Lemon Duck não derruba um webshell depois de comprometer um sistema. Em vez disso, ele usa métodos sem arquivo e sem shell que empregam comandos diretos do PowerShell.
Em um caso, Lemon Duck atingiu um sistema que tinha um webshell colocado por outro grupo, diz a Microsoft. Lemon Duck então removeu o acesso desse ator de ameaça e mitigou CVE-2021-26855 , a falha de falsificação de solicitação do lado do servidor, com um script de limpeza legítimo para que ninguém mais pudesse explorá-lo.
“Esta ação impede a exploração adicional do servidor e remove os shells da web, dando ao Lemon Duck acesso exclusivo ao servidor comprometido”, escreve a Microsoft. “Isso enfatiza a necessidade de investigar completamente os sistemas que foram expostos, mesmo que tenham sido totalmente corrigidos e mitigados, de acordo com o processo tradicional de resposta a incidentes.“
Patch, níveis de mitigação em mais de 92%
A Microsoft corrigiu as quatro vulnerabilidades na versão local do Exchange Server em 2 de março. Naquela época, o RiskIQ estimou que cerca de 400.000 servidores Exchange locais estavam vulneráveis. Até dia 25 de março, a Microsoft diz, mais de 92%, ou cerca de 368.000, foram corrigidos ou atenuados.
Os servidores Exchange foram atacados agressivamente a partir de 26 de fevereiro. A Microsoft atribuiu a atividade inicial a um grupo suspeito com base na China apelidado de Hafnium , mas outras empresas de segurança notaram até meia dúzia de grupos atacando servidores Exchange antes do patch.
Antes de a Microsoft lançar patches, a The Shadowserver Foundation disse que detectou que 68.000 IPs distintos de servidores Exchange haviam sido comprometidos.
Isso sugere que as informações sobre as vulnerabilidades, que foram descobertas pela empresa de testes de penetração de Taiwan Devcore, podem ter vazado. Outra possibilidade é que as vulnerabilidades possam ter sido descobertas em paralelo por outros grupos.
No entanto, a Microsoft está investigando se um vazamento pode ter ocorrido por meio de um parceiro em seu Programa de Proteção Ativa da Mic
Defesa contra exploits e atividades pós-comprometimento
Os invasores exploram as vulnerabilidades do Exchange Server local em combinação para ignorar a autenticação e obter a capacidade de gravar arquivos e executar códigos mal-intencionados. A melhor e mais completa correção para essas vulnerabilidades é atualizar para uma atualização cumulativa com suporte e instalar todas as atualizações de segurança. Uma orientação abrangente de mitigação pode ser encontrada em https://aka.ms/ExchangeVulns .
Conforme visto nos ataques pós-exploração, os caminhos que os invasores podem seguir após a exploração bem-sucedida das vulnerabilidades são variados e abrangentes. Se você determinou ou tem motivos para suspeitar que essas ameaças estão presentes em sua rede, aqui estão as etapas imediatas que você pode realizar segundo a Microsoft:
- Investigue os servidores Exchange expostos para comprometimento, independentemente do status do patch atual.
- Procure por shells da web por meio da orientação da Microsoft e execute uma verificação AV completa usando a ferramenta de mitigação do Exchange no local .
- Investigue usuários e grupos locais, mesmo usuários não administrativos, para alterações e certifique-se de que todos os usuários exijam uma senha para entrar. As criações de novas contas de usuário (representadas pela ID de evento 4720) durante o tempo em que o sistema estava vulnerável podem indicar a criação de um usuário mal-intencionado.
- Redefina e randomize as senhas do administrador local com uma ferramenta como LAPS, se ainda não estiver fazendo isso.
- Procure alterações na configuração de RDP, firewall, assinaturas WMI e Gerenciamento Remoto do Windows (WinRM) do sistema que podem ter sido configuradas pelo invasor para permitir persistência.
- Procure a ID de evento 1102 para determinar se os invasores limparam os logs de eventos, uma atividade que os invasores executam com exe na tentativa de ocultar seus rastros.
- Procure por novos mecanismos de persistência, como serviços inesperados, tarefas agendadas e itens de inicialização.
- Procure ferramentas Shadow IT que os invasores possam ter instalado para persistência, como RDP não Microsoft e clientes de acesso remoto.
- Verifique as configurações de nível de caixa de correio de e-mail de encaminhamento (atributos ForwardingAddress e ForwardingSmtpAddress), as regras de caixa de correio de verificação da caixa de entrada (que podem ser usados para encaminhar email externamente), e consultar as regras de transporte do Exchange que você pode não reconhecer.
Embora as ferramentas de resposta verifiquem e removam shells da web e ferramentas de ataque conhecidas, é recomendável realizar uma investigação completa desses sistemas. Para obter orientação e ferramentas abrangentes de investigação e mitigação, consulte https://aka.ms/exchange-customer-guidance .
Além disso, aqui estão as melhores práticas para a construção de higiene de credencial e prática do princípio do menor privilégio:
- Siga as orientações para executar o Exchange na configuração de privilégios mínimos: https://adsecurity.org/?p=4119 .
- Garanta que contas de serviço e tarefas agendadas sejam executadas com o mínimo de privilégios de que precisam. Evite grupos amplamente privilegiados, como administradores de domínio e operadores de backup, e prefira contas com acesso apenas aos sistemas de que precisam.
- Randomize as senhas do administrador local para evitar movimentos laterais com ferramentas como LAPS .
- Certifique-se de que os administradores pratiquem bons hábitos de administração, como estações de trabalho administrativas privilegiadas .
- Evite que contas privilegiadas, como administradores de domínio, entrem em servidores e estações de trabalho membros usando a Diretiva de Grupo para limitar a exposição de credenciais e o movimento lateral.
PAM fortalece contra ataques de Ransomwares
Se a senha de uma credencial for vazada ou roubada e não for trocada, o atacante malicioso terá acesso indevido aos dispositivos associados, e assim vazar dados ou até causar outros tipos de prejuízos.
Acesso privilegiado é um termo usado para designar acesso ou habilidades especiais acima e além das de um usuário padrão. O acesso privilegiado, realizado através de credenciais privilegiadas, permite que as organizações protejam sua infraestrutura e seus aplicativos, gerenciem negócios com eficiência e mantenham a confidencialidade de dados sensíveis e infraestrutura crítica. O acesso privilegiado pode ser associado a usuários humanos, bem como a usuários não humanos, como aplicativos e identidades de máquinas.
Dessa forma, a Gestão de Acesso Privilegiado (PAM) é uma solução para gestão desses acessos privilegiados. O seu objetivo principal é o de proteger e controlar o uso de credenciais impessoais e de alto privilégio, como as exploradas nos ataques descritos acima, provendo armazenamento seguro, segregação de acessos e total rastreabilidade de utilização.
O PAM é capaz e criar e gerenciar o uso de contas privilegiadas com senhas fortes e não conhecidas pelos administradores, e monitorar e limitar o seu uso. Com isto é possível reduzir o número de contas privilegiadas no ambiente ao mesmo tempo que aumentar o nível de proteção sobre possíveis usos indevidos destas contas.
De acordo com o Gartner, até 2022, 70% das organizações implementarão práticas de PAM para todos os seus casos de uso, um incremento de 40% em relação aos dias atuais. O Gartner também reconheceu a importância de se implementar a adequada gestão de privilégios, elegendo o PAM por dois anos seguidos como projeto número um em Segurança da Informação.
Uma das empresas mais respeitadas de pesquisa e consultoria em TI do mundo, o Gartner, destaca o senhasegura como uma das melhores soluções de PAM do mercado mundial em seu relatório denominado Critical Capabilities for PAM, o qual avalia a tecnologia PAM e sua capacidade de executar e fornecer a funcionalidade necessária para o universo da cibersegurança.
Fonte: Microsoft
Clique e saiba mais como o senhasegura pode te ajudar
Veja também:
- PAM e DEVOPS – como combinar estes dois?
- Purple Fox Rootkit se propaga como um worm visando máquinas Windows
- senhasegura – Gestão de Acesso Privilegiado (PAM)
- Um ano de trabalho remoto e as preocupações de cibersegurança
- Acer atingido por aparente ataque do grupo de ransomware REvil
- ANPD alerta sobre campanha de Phishing usando o nome da entidade
- Mais de US $ 4,2 bilhões oficialmente perdidos para o crime cibernético em 2020
- Vazamento de dados “made in Brazil”
- Incidente de Segurança Cibernética de Terceiros impacta a Shell
- LGPD – A diferença entre Hipótese Legal e Base Legal
- Governo Federal e TSE assinam acordo para oferecer identidade digital a todos os brasileiros
- Dados de 21 milhões de usuários VPN gratuitos expostos
Deixe sua opinião!