Brasil é o 5º país mais atacado pelas vulnerabilidades de dia zero do servidor Microsoft Exchange

As explorações direcionadas às empresas em todo o mundo dobram a cada duas horas após a revelação das quatro vulnerabilidades de dia zero pela Microsoft; ainda segundo levantamento, o país mais atacado é a Turquia (19%), seguida pelos Estados Unidos (18%), Itália (10%), Alemanha (7%) e o Brasil (4%).

Compartilhar:

A Check Point registrou centenas de tentativas de exploração de vulnerabilidade contra organizações em todo o mundo relacionadas às quatro vulnerabilidades de dia zero que atualmente afetam o Microsoft Exchange Server. Nas últimas horas, a CPR observou que o número de tentativas de exploração nas empresas que rastreia dobra a cada duas ou três horas. Os pesquisadores da CPR descreveram também as vulnerabilidades divulgadas, as empresas visadas por país e por setor, bem como as recomendações para prevenir os ataques que ainda estão por vir. Especialistas em cibersegurança em todo o mundo estão fazendo extensos esforços de prevenção para combater os cibercriminosos que produzem explorações para se aproveitarem dos pontos fracos do Microsoft Exchange.

 

Tentativas de ataque atuais em números

 

 

 

De todas as empresas atacadas, 17% são dos setores público/Governo e militar e 14% do setor da indústria/manufatura. Do ponto de vista geográfico, o país mais atacado é a Turquia (19%), seguida pelos Estados Unidos (18%), Itália (10%), Alemanha (7%) e o Brasil (4%).

 

 

 

Por trás das linhas dos dias zero

 

 

 

No início de março, a Microsoft lançou um patch de emergência para o Exchange Server, o servidor de e-mail mais popular do mundo. Todos os e-mails de entrada e saída, convites de calendário e praticamente qualquer informação ou tarefa acessada no Outlook passam pelo servidor Exchange.

 

 

 

 

A Orange Tsai (Cheng-Da Tsai) da DEVCORE, relatou duas vulnerabilidades em janeiro. Mesmo sem conhecimento da magnitude dos eventos, a Microsoft investigou mais a fundo seu servidor Exchange. Finalmente, a investigação os levou a descobrir cinco outras vulnerabilidades críticas que permitiam a um cibercriminoso ler e-mails de um servidor Exchange sem ter de autenticar ou acessar a conta de e-mail de um usuário. Além disso, as diferentes vulnerabilidades permitem que os cibercriminosos assumam o controle total do próprio servidor.

 

Uma vez que um cibercriminoso assume o controle do servidor Exchange, ele pode abrir a rede para a Internet e acessá-la remotamente. Como muitos servidores Exchange estão conectados à Internet (especificamente à função Outlook Web Access) e integrados à rede geral, isso representa um risco crítico de segurança para milhões de empresas.

 

Se o servidor Microsoft Exchange de uma empresa tiver acesso à Internet e não tiver sido atualizado com os patches mais recentes ou protegido por software de fornecedores de cibersegurança, deve-se considerar que o servidor está comprometido. Os servidores comprometidos podem permitir que um cibercriminoso não autorizado extraia todos os e-mails corporativos e execute códigos maliciosos dentro de uma empresa com permissões elevadas.

 

Como funcionam essas vulnerabilidades

 

• CVE-2021-26855 – é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que o cibercriminoso envie solicitações HTTP arbitrárias e se autentique como o servidor Exchange.

 

• CVE-2021-26857 – é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis, controlados pelo usuário, são extraídos por um programa. A exploração desta vulnerabilidade dá ao HAFNIUM (grupo de hackers) a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.

 

• CVE-2021-26858 – é uma vulnerabilidade arbitrária de gravação de arquivo após autenticação no Exchange. Se o HAFNIUM pudesse autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.

 

• CVE-2021-27065 – é uma vulnerabilidade pós-autenticação de gravação de arquivo arbitrária no Exchange. Se HAFNIUM pudesse autenticar com o servidor Exchange, ele poderia usar esta vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.

 

“Com um servidor comprometido, a porta está aberta a acessos não autorizados e incorporação de códigos maliciosos na sua organização. Um atacante pode extrair os seus e-mails corporativos ou a executar atividades danosas sem o seu conhecimento. Para as empresas que estão ainda em risco, tomar medidas preventivas no servidor Exchange não é suficiente. É necessário fazer uma avaliação completa das suas redes ativas e procurar por potenciais ameaças”, recomenda Claudio Bannwart, country manager da Check Point Brasil.

 

 

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta vazamento de dados de 250 mil brasileiros no setor bancário

ZenoX detectou vazamento de dados na dark web e especialistas destacam medidas práticas de como evitar danos e proteger informações...
Security Report | Overview

Consumo no fim de ano aumenta urgência por Cibersegurança uniformizada, diz pesquisa

Com a chegada de uma das datas mais movimentadas do comércio, especialista alerta para os riscos de ataque e mostra...
Security Report | Overview

Como os riscos de Cyber podem ameaçar finanças e reputação na Black Friday?

A ameaça de danos financeiros e reputacionais torna a segurança cibernética robusta não apenas uma necessidade técnica, mas um imperativo...
Security Report | Overview

Estudo detecta crescimento de 95% dos ciberataques no Brasil

Relatório da Check Point Research registrou cerca de 2766 ataques digitais semanalmente no Brasil