Explorações em organizações no mundo crescem dez vezes após a revelação das vulnerabilidades de dia zero do Microsoft Exchange
A Check Point atualiza o número de tentativas de ataque que aumentou em dez vezes; o país mais atacado foram os Estados Unidos (17% de todas as tentativas de exploração), seguidos pela Alemanha (6%), Reino Unido (5%), Holanda (5%), Rússia (4%) e Brasil (4%)
A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd . (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, observou desde a última quinta-feira até o momento que o número de tentativas de exploração nas empresas em todo o mundo, em relação às vulnerabilidades de dia zero do servidor Microsoft Exchange, aumentou em dez vezes, ou seja, de 700 ataques em 11 de março para mais de 7 mil (7.200 exatos) nesta segunda-feira, 15 de março.
Desde as vulnerabilidades recentemente divulgadas nos servidores Microsoft Exchange, teve início uma corrida entre os cibercriminosos e os profissionais de cibersegurança. Especialistas globais estão usando esforços preventivos massivos para combater os atacantes que trabalham dia após dia para produzir uma exploração com a qual podem alavancar com sucesso as vulnerabilidades de execução remota de código no Microsoft Exchange.
De todas as empresas atacadas, 23% de todas as tentativas de exploração são dos setores público/Governo e militar, seguido pelos setores da indústria/manufatura (15%), serviços bancários e financeiros (14%), fornecedores de software (7%) e saúde (6%).
"É urgente e imprescindível que as empresas façam uma avaliação completa de suas redes ativas para buscar por potenciais ameaças. Desta maneira irão prevenir ataques futuros, pois um atacante pode extrair os seus e-mails corporativos ou executar atividades danosas sem o seu conhecimento. Com um servidor comprometido, a porta está aberta a acessos não autorizados e incorporação de códigos maliciosos na sua organização", alerta Claudio Bannwart, country manager da Check Point Brasil.
Prevenir futuros ataques e permanecer em segurança
As vulnerabilidades divulgadas pela Microsoft foram:
• CVE-2021-26855 - é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que o cibercriminoso envie solicitações HTTP arbitrárias e se autentique como o servidor Exchange.
• CVE-2021-26857 - é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis, controlados pelo usuário, são extraídos por um programa. A exploração desta vulnerabilidade dá ao HAFNIUM (grupo de hackers) a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.
• CVE-2021-26858 - é uma vulnerabilidade arbitrária de gravação de arquivo após autenticação no Exchange. Se o HAFNIUM pudesse autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
• CVE-2021-27065 - é uma vulnerabilidade pós-autenticação de gravação de arquivo arbitrária no Exchange. Se HAFNIUM pudesse autenticar com o servidor Exchange, ele poderia usar esta vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
Para evitar ataques futuros e manter a organização segura contra as explorações a estas vulnerabilidades, a Check Point faz as seguintes recomendações:
• Patch - atualizar imediatamente todos os Microsoft Exchange Servers para as versões com patches mais recentes disponíveis pela Microsoft. Esta atualização não é automática e espera-se que os responsáveis nas empresas a executem manualmente.
• Proteções de prevenção de ameaças - a Check Point oferece cobertura de segurança abrangente para as vulnerabilidades relatadas pela Microsoft com as seguintes proteções de prevenção de ameaças:
IPS : Utilizar o Intrusion Prevention System (IPS) para garantir proteção contra tentativas de exploração de falhas em sistemas ou aplicações vulneráveis:
. CVE-2021-26855 - CPAI-2021-0099
. CVE-2021-26857 - CPAI-2021-0107
. CVE-2021-26858 - CPAI-2021-0107
. CVE-2021-27065 - CPAI-2021-0099
Emulação de ameaça:
. Trojan.WinsCVE-2021-27065.A
Antivírus:
. HAFNIUM.TC. Xxx
. Trojan.Win32.Hafnium.TC.XXX
Proteção de endpoints: O antivírus convencional é uma solução altamente eficaz na prevenção contra os ataques conhecidos, já que protege contra a maioria dos malwares. Para evitar falhas de segurança ou vazamento de dados, é importante investir em uma solução de proteção de endpoints abrangente que garanta os mais altos níveis de segurança.
. Behavioral.Win.SuspExchange.A
. Behavioral.Win.SuspExchange.B
. Behavioral.Win.SuspExchange.C
. Behavioral.Win.SuspExchange.D
Sobre a Check Point Research
A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças. A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções. A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.
Sobre a Check Point Software Technologies Ltd.
A Check Point Software Technologies Ltd. (https://www.checkpoint.com/pt/) é um fornecedor líder em soluções de cibersegurança para governos e empresas privadas globalmente. As suas soluções protegem os clientes contra ciberataques de 5ª geração (Gen V) com um índice de captura líder de mercado de malware, ransomware e outros tipos de ataques. A Check Point oferece arquitetura de segurança multinível "Infinity" Total Protection com prevenção de ameaças avançadas Gen V, que protege as informações de nuvem, rede e dispositivos móveis corporativos. A Check Point fornece o mais abrangente e intuitivo ponto de controle de sistema de gerenciamento de segurança. A Check Point protege mais de 100.000 organizações de todos os portes.
Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
https://www.facebook.com/groups/portalnacional/
<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte... www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. - Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>
Adicionar comentário