Os pesquisadores da CPR descreveram também as vulnerabilidades divulgadas, as empresas visadas por país e por setor, bem como as recomendações para prevenir os ataques que ainda estão por vir. Especialistas em cibersegurança em todo o mundo estão fazendo extensos esforços de prevenção para combater os cibercriminosos que produzem explorações para se aproveitarem dos pontos fracos do Microsoft Exchange.

De todas as empresas atacadas, 17% são dos setores público/Governo e militar e 14% do setor da indústria/manufatura. Do ponto de vista geográfico, o país mais atacado é a Turquia (19%), seguida pelos Estados Unidos (18%), Itália (10%), Alemanha (7%) e o Brasil (4%).

Por trás das linhas dos dias zero

No início de março, a Microsoft lançou um patch de emergência para o Exchange Server, o servidor de e-mail mais popular do mundo. Todos os e-mails de entrada e saída, convites de calendário e praticamente qualquer informação ou tarefa acessada no Outlook passam pelo servidor Exchange.

A Orange Tsai (Cheng-Da Tsai) da DEVCORE, uma empresa de segurança com sede em Taiwan, relatou duas vulnerabilidades em janeiro. Mesmo sem conhecimento da magnitude dos eventos, a Microsoft investigou mais a fundo seu servidor Exchange. Finalmente, a investigação os levou a descobrir cinco outras vulnerabilidades críticas que permitiam a um cibercriminoso ler e-mails de um servidor Exchange sem ter de autenticar ou acessar a conta de e-mail de um usuário. Além disso, as diferentes vulnerabilidades permitem que os cibercriminosos assumam o controle total do próprio servidor.

Uma vez que um cibercriminoso assume o controle do servidor Exchange, ele pode abrir a rede para a Internet e acessá-la remotamente. Como muitos servidores Exchange estão conectados à Internet (especificamente à função Outlook Web Access) e integrados à rede geral, isso representa um risco crítico de segurança para milhões de empresas.

Se o servidor Microsoft Exchange de uma empresa tiver acesso à Internet e não tiver sido atualizado com os patches mais recentes ou protegido por software de fornecedores de cibersegurança, deve-se considerar que o servidor está comprometido. Os servidores comprometidos podem permitir que um cibercriminoso não autorizado extraia todos os e-mails corporativos e execute códigos maliciosos dentro de uma empresa com permissões elevadas.

Como funcionam essas vulnerabilidades

• CVE-2021-26855 - é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que o cibercriminoso envie solicitações HTTP arbitrárias e se autentique como o servidor Exchange.

• CVE-2021-26857 - é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis, controlados pelo usuário, são extraídos por um programa. A exploração desta vulnerabilidade dá ao HAFNIUM (grupo de hackers) a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.

• CVE-2021-26858 - é uma vulnerabilidade arbitrária de gravação de arquivo após autenticação no Exchange. Se o HAFNIUM pudesse autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.

• CVE-2021-27065 - é uma vulnerabilidade pós-autenticação de gravação de arquivo arbitrária no Exchange. Se HAFNIUM pudesse autenticar com o servidor Exchange, ele poderia usar esta vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.

“Qualquer organização cujo servidor Microsoft Exchange esteja exposto à Internet que não tenha ainda atualizado o seu software com os mais recentes patches da Microsoft ou que não conte com um fornecedor terceiro de cibersegurança, como a Check Point, corre um grande risco,” alerta Claudio Bannwart, country manager da Check Point Brasil. “Com um servidor comprometido, a porta está aberta a acessos não autorizados e incorporação de códigos maliciosos na sua organização. Um atacante pode extrair os seus e-mails corporativos ou a executar atividades danosas sem o seu conhecimento. Para as empresas que estão ainda em risco, tomar medidas preventivas no servidor Exchange não é suficiente. É necessário fazer uma avaliação completa das suas redes ativas e procurar por potenciais ameaças”, recomenda Bannwart.

Como as organizações podem se prevenir e proteger no futuro

1. Instalar imediatamente os devidos patches lançados pela Microsoft. Esta atualização não é automática, o que significa que a rede corporativa só estará protegida quando a atualização for feita manualmente.

2. Prevenir é o melhor remédio. Utilize o Intrusion Prevention System (IPS) para garantir proteção contra tentativas de exploração de falhas em sistemas ou aplicações vulneráveis.

3. Proteger os endpoints. O antivírus convencional é uma solução altamente eficaz na prevenção contra os ataques conhecidos, já que protege contra a maioria dos malwares. Para evitar falhas de segurança ou vazamento de dados, é importante investir em uma solução de proteção de endpoints abrangente que garanta os mais altos níveis de segurança.