A Check Point registrou centenas de tentativas de exploração de vulnerabilidade contra organizações em todo o mundo relacionadas às quatro vulnerabilidades de dia zero que atualmente afetam o Microsoft Exchange Server. Nas últimas horas, a CPR observou que o número de tentativas de exploração nas empresas que rastreia dobra a cada duas ou três horas. Os pesquisadores da CPR descreveram também as vulnerabilidades divulgadas, as empresas visadas por país e por setor, bem como as recomendações para prevenir os ataques que ainda estão por vir. Especialistas em cibersegurança em todo o mundo estão fazendo extensos esforços de prevenção para combater os cibercriminosos que produzem explorações para se aproveitarem dos pontos fracos do Microsoft Exchange.
Tentativas de ataque atuais em números
De todas as empresas atacadas, 17% são dos setores público/Governo e militar e 14% do setor da indústria/manufatura. Do ponto de vista geográfico, o país mais atacado é a Turquia (19%), seguida pelos Estados Unidos (18%), Itália (10%), Alemanha (7%) e o Brasil (4%).
Por trás das linhas dos dias zero
No início de março, a Microsoft lançou um patch de emergência para o Exchange Server, o servidor de e-mail mais popular do mundo. Todos os e-mails de entrada e saída, convites de calendário e praticamente qualquer informação ou tarefa acessada no Outlook passam pelo servidor Exchange.
A Orange Tsai (Cheng-Da Tsai) da DEVCORE, relatou duas vulnerabilidades em janeiro. Mesmo sem conhecimento da magnitude dos eventos, a Microsoft investigou mais a fundo seu servidor Exchange. Finalmente, a investigação os levou a descobrir cinco outras vulnerabilidades críticas que permitiam a um cibercriminoso ler e-mails de um servidor Exchange sem ter de autenticar ou acessar a conta de e-mail de um usuário. Além disso, as diferentes vulnerabilidades permitem que os cibercriminosos assumam o controle total do próprio servidor.
Uma vez que um cibercriminoso assume o controle do servidor Exchange, ele pode abrir a rede para a Internet e acessá-la remotamente. Como muitos servidores Exchange estão conectados à Internet (especificamente à função Outlook Web Access) e integrados à rede geral, isso representa um risco crítico de segurança para milhões de empresas.
Se o servidor Microsoft Exchange de uma empresa tiver acesso à Internet e não tiver sido atualizado com os patches mais recentes ou protegido por software de fornecedores de cibersegurança, deve-se considerar que o servidor está comprometido. Os servidores comprometidos podem permitir que um cibercriminoso não autorizado extraia todos os e-mails corporativos e execute códigos maliciosos dentro de uma empresa com permissões elevadas.
Como funcionam essas vulnerabilidades
• CVE-2021-26855 – é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que o cibercriminoso envie solicitações HTTP arbitrárias e se autentique como o servidor Exchange.
• CVE-2021-26857 – é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis, controlados pelo usuário, são extraídos por um programa. A exploração desta vulnerabilidade dá ao HAFNIUM (grupo de hackers) a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.
• CVE-2021-26858 – é uma vulnerabilidade arbitrária de gravação de arquivo após autenticação no Exchange. Se o HAFNIUM pudesse autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
• CVE-2021-27065 – é uma vulnerabilidade pós-autenticação de gravação de arquivo arbitrária no Exchange. Se HAFNIUM pudesse autenticar com o servidor Exchange, ele poderia usar esta vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
“Com um servidor comprometido, a porta está aberta a acessos não autorizados e incorporação de códigos maliciosos na sua organização. Um atacante pode extrair os seus e-mails corporativos ou a executar atividades danosas sem o seu conhecimento. Para as empresas que estão ainda em risco, tomar medidas preventivas no servidor Exchange não é suficiente. É necessário fazer uma avaliação completa das suas redes ativas e procurar por potenciais ameaças”, recomenda Claudio Bannwart, country manager da Check Point Brasil.