Explorações em organizações crescem após vulnerabilidades do Microsoft Exchange

Tentativas de ataque aumentou em dez vezes; os países mais atacados foram os Estados Unidos (17% de todas as tentativas de exploração), seguidos pela Alemanha (6%), Reino Unido (5%), Holanda (5%), Rússia (4%) e Brasil (4%)

Compartilhar:

A Check Point observou desde a última quinta-feira até o momento que o número de tentativas de exploração nas empresas em todo o mundo, em relação às vulnerabilidades de dia zero do servidor Microsoft Exchange, aumentou em dez vezes, ou seja, de 700 ataques em 11 de março para mais de 7 mil (7.200 exatos) nesta segunda-feira, 15 de março.

 

Desde as vulnerabilidades recentemente divulgadas nos servidores Microsoft Exchange, teve início uma corrida entre os cibercriminosos e os profissionais de cibersegurança. Especialistas globais estão usando esforços preventivos massivos para combater os atacantes que trabalham dia após dia para produzir uma exploração com a qual podem alavancar com sucesso as vulnerabilidades de execução remota de código no Microsoft Exchange.

 

 

 

 

 

De todas as empresas atacadas, 23% de todas as tentativas de exploração são dos setores público/Governo e militar, seguido pelos setores da indústria/manufatura (15%), serviços bancários e financeiros (14%), fornecedores de software (7%) e saúde (6%).

 

 

 

 

 

 

 

 

 

“É urgente e imprescindível que as empresas façam uma avaliação completa de suas redes ativas para buscar por potenciais ameaças. Desta maneira irão prevenir ataques futuros, pois um atacante pode extrair os seus e-mails corporativos ou executar atividades danosas sem o seu conhecimento. Com um servidor comprometido, a porta está aberta a acessos não autorizados e incorporação de códigos maliciosos na sua organização”, alerta Claudio Bannwart, country manager da Check Point Brasil.

 

 

 

Prevenir futuros ataques e permanecer em segurança

 

As vulnerabilidades divulgadas pela Microsoft foram:

 

• CVE-2021-26855 – é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que o cibercriminoso envie solicitações HTTP arbitrárias e se autentique como o servidor Exchange.

 

• CVE-2021-26857 – é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis, controlados pelo usuário, são extraídos por um programa. A exploração desta vulnerabilidade dá ao HAFNIUM (grupo de hackers) a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.

 

• CVE-2021-26858 – é uma vulnerabilidade arbitrária de gravação de arquivo após autenticação no Exchange. Se o HAFNIUM pudesse autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.

 

•  CVE-2021-27065 – é uma vulnerabilidade pós-autenticação de gravação de arquivo arbitrária no Exchange. Se HAFNIUM pudesse autenticar com o servidor Exchange, ele poderia usar esta vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.

 

Conteúdos Relacionados

Security Report | Overview

Google, Facebook e Amazon são as marcas mais usadas em roubos de credenciais, diz relatório

Kaspersky aponta aumento de ataques de phishing a grandes marcas e a causa pode estar na sofisticação e agressividade de...
Security Report | Overview

Febraban alerta para golpes mais aplicados nas compras de Natal

Cliente deve redobrar cuidados ao fazer compras no e-commerce e com seu cartão nas lojas de rua de grandes centros...
Security Report | Overview

Bloqueio de fraudes na Black Friday crescem 270% em 2024

Novo dado foi divulgado pela Visa recentemente. Já na Cyber Monday, a empresa afirma ter bloqueado 85% a mais de...
Security Report | Overview

Como o cenário de malwares evoluiu na América Latina em 2024?

A evolução dos malwares focados na América Latina em 2024 destaca a adaptabilidade e a engenhosidade de seus desenvolvedores, que...