De acordo com a Microsoft, em 2 de Março de 2021 a empresa lançou atualizações críticas de segurança para quatro vulnerabilidades cruciais de dia zero descobertas nos servidores Exchange e relatou que os exploits estão sendo ativamente explorados por um ator chamado HAFNIUM, grupo que opera na China.

Depois de uma semana, aproximadamente 30.000 organizações norte-americanas e milhares de organizações em todo o mundo foram vítimas de uma campanha automatizada conduzida por HAFNIUM que fornece aos atacantes controle remoto sobre os sistemas afetados.

A Radware, fornecedora de soluções de cibersegurança e entrega de aplicações, avalia a ameaça como crítica para todos os setores em todo o mundo, de pequenas a grandes corporações. “Relatórios iniciais indicaram o envolvimento de atores chineses avançados. Grupos APT chineses são conhecidos por espionagem e visam ativos de governos, instituições farmacêuticas de pesquisa, pesquisa em geral e pesquisa corporativa”, explica Arie Simchis, Diretor Regional para América Latina da Radware.

Na última semana, os exploits começaram a circular e as campanhas de ransomware e criptomoedas começaram a explorar as vulnerabilidades. Consequentemente, a ameaça agora é genérica e global, colocando qualquer organização, independente da indústria ou localização, em risco de ser vítima de abuso de ransomware e mineração de criptomoedas.

Até 15 de março, a “Deception Network” global da Radware registrou apenas duas varreduras aleatórias globais isoladas por servidores Exchange expostos. “Acreditamos que as varreduras aleatórias aumentarão nos próximos dias à medida que mais atores maliciosos integrem a prova de conceitos atuantes em suas campanhas e botnets existentes”, destaca Simchis.

Mitigação

Qualquer Microsoft Exchange Server 2013, 2016 ou 2019 que seja ou tenha sido exposto à internet após 1º de janeiro de 2021 e capaz de receber conexões não confiáveis, está potencialmente comprometido. O Exchange Online não é afetado pelas vulnerabilidades.

O Exchange Server 2010 só é afetado pelo CVE-2021-26857 e, como tal, não é afetado pela vulnerabilidade SSRF de acesso inicial. No entanto, é altamente recomendável instalar as atualizações de segurança mais recentes.

Os Exchange Server 2003 e 2007 não são mais suportados e devem ser atualizados para uma versão mais recente e suportada do Exchange o mais rápido possível.

A Microsoft forneceu mitigações provisórias para organizações que não conseguem atualizar imediatamente ou precisam de mais tempo para passar no teste de garantia de qualidade. As mitigações são baseadas na implementação das regras de reescrita do IIS e na desativação do Unified Messaging, do VDir do Exchange Control Panel Emergency Response Team do VDir do Offline Address Book.

“Após atualizar ou proteger o Exchange Server, ainda é altamente recomendável verificar se há vestígios de potenciais exploits anteriores que poderiam ter acontecido entre os primeiros ataques e as atualizações. A Microsoft lançou um script PowerShell que pode detectar a presença de web shells”, afirma Arie Simchis.

Mesmo que não tenha sido detectada nenhuma web shell, uma auditoria forense mais ampla ainda é recomendada pelo executivo da Radware. “Deve-se começar filtrando os logs do servidor web do Exchange para traços de execuções de comandos que podem ser realizadas aproveitando os scripts do PowerShell públicos. Finalmente, é importante garantir que nenhum dado foi exfiltrado ou contas comprometidas ou adicionadas por atores maliciosos. Mesmo quando não foram detectados vestígios de compromisso no servidor, os atores maliciosos poderiam ter apagado seu rastro enquanto ainda mantinham uma posição”.

O alerta de ameaça completo desenvolvido pelo time de resposta a emergências (ERT Threat Alert) da Radware está disponível em: https://www.radware.com/security/ddos-threats-attacks/threat-advisories-attack-reports/proxy-logon/