Vulnerabilidades de dia zero do Microsoft Exchange Server
Um ataque severo explorando quatro vulnerabilidades de dia zero em versões locais do Exchange Server da Microsoft foi executado por um agente de ameaça patrocinado pelo estado. A Microsoft já havia começado a monitorar as atividades desse coletivo de hackers sob a designação HAFNIUM . De acordo com suas descobertas, o grupo está localizado na China e é apoiado pelo governo chinês.
Por meio das explorações, os hackers podiam obter acesso ilegal ao Exchange Server e criar um shell da web que lhes dava controle remoto sobre o sistema. O objetivo principal do ataque era acessar dados confidenciais contidos nas contas de e-mail da vítima e no catálogo de endereços offline do Exchange. O shell da web, no entanto, também permitiu que cargas de malware adicionais fossem descartadas. No ataque HAFNIUM, essa funcionalidade foi usada para garantir acesso prolongado aos sistemas da vítima.
Depois que as informações sobre o ataque se tornaram públicas, a Microsoft detectou vários agentes de ameaças adicionais que incorporaram as vulnerabilidades de dia zero em suas operações. Em apenas 9 dias, uma nova ameaça de ransomware foi observada através dos quatro pontos fracos de segurança. O nome da ameaça foi DearCry , uma homenagem óbvia ao infame malware WannaCry que infectou usuários em todo o mundo em um ataque que explorou um conjunto diferente de vulnerabilidades da Microsoft.
Quatro explorações de dia zero ativaram o ataque
Os dias zero explorados pelo HAFNIUM e outros agentes de ameaças são rastreados como CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065.
O primeiro, CVE-2021-26855, é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) que permite que invasores enviem solicitações HTTP arbitrárias e se autentiquem como o servidor Exchange.
CVE-2021-26857 é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. Resumindo, essa exploração permitia que os invasores executassem código como SYSTEM no servidor Exchange.
Os dois últimos exploits - CVE-2021-26858 e CVE-2021-27065, ambos consistem em uma vulnerabilidade de gravação de arquivo arbitrário pós-autenticação.
A Microsoft lançou patches de segurança e ferramentas para atenuar o ataque
Na sequência da violação e devido à sua gravidade, a Microsoft lançou várias atualizações de segurança para corrigir as vulnerabilidades em versões mais antigas de seu Exchange Server. A gigante da tecnologia também lançou um blog de segurança contendo IoC (indicadores de comprometimento) observados, orientação de detecção e consultas de caça avançada para que os clientes tenham uma ideia melhor de onde verificar se há sinais de atividade potencialmente maliciosa.
Para ajudar os clientes menores que não têm departamentos de TI ou segurança cibernética dedicados, a Microsoft também lançou uma ferramenta de mitigação de um clique. A ferramenta de mitigação do Microsoft Exchange On-Premises deve ser usada como uma medida de segurança provisória nas implantações do Exchange Server 2013, 2016 e 2019 enquanto o cliente se prepara para instalar a atualização de segurança apropriada.
