Rui Damião em 2021-4-01
As quatro vulnerabilidades descobertas no Microsoft Exchange Server – nas versões 2013, 2016 e 2019 – têm o potencial de causar danos catastróficos em organizações de todo o mundo. Uma semana depois de terem sido reveladas, as tentativas de exploração destas vulnerabilidades duplicavam a cada duas a três horas
Quatro vulnerabilidades zero day no Microsoft Exchange Server foram ativamente exploradas pelo grupo Hafnium – com fortes ligações ao estado chinês – e, desde que forma divulgadas as vulnerabilidades, outros grupos têm utilizado estas vulnerabilidades para os seus próprios proveitos. Ainda que não esteja ligado ao ataque Solarwinds – que terá impactado 18 mil organizações em todo o mundo –, acredita-se que estas vulnerabilidades podem ter um impacto similar ou ainda pior nas organizações de todo o mundo por causa da demora em corrigir as vulnerabilidades. Brian Krebs alertou no seu blog para uma bomba-relógio (que serviu de inspiração para o título deste artigo), uma vez que cada um dos servidores hackeados ‘ganharam’ uma backdoor para que os atacantes possam ter controlo remoto e total, capacidade para ler todos os emails e acesso fácil aos dispositivos das vítimas. Segundo dados da Check Point, uma semana depois de ser divulgado o ataque, as tentativas de exploração de vulnerabilidades duplicaram a cada duas a três horas. Entre os setores mais visados estavam a administração pública e setor militar (com 17% das tentativas de ataque) seguindo da indústria de manufatura (14%) e setor bancário (11%). Problema mesmo depois de corrigida a vulnerabilidadeO problema vai para além da vulnerabilidade em si. Mesmo que uma organização tenha corrigido a vulnerabilidade em tempo útil aceitável, existe o problema de ter sido atacada sem ter dado conta. É aí que a tal ‘bomba-relógio’ fica um pouco mais perto de explodir. O primeiro objetivo dos atacantes é criar uma maneira de voltar a entrar – os famosos backdoors. Os hackers mais astutos sabem que é uma questão de tempo – se calhar horas – até que a organização que pretendem atacar corrija uma vulnerabilidade tão crítica. Todos os minutos contam. Os especialistas de segurança estão a alertar e a ajudar as vítimas antes de os hackers lançarem os seus ataques, aquilo que antecipam como a segunda fase deste ataque. Esta será a altura em que vão voltar aos servidores hackeados e colocar ransomware ou outras ferramentas de hacking para navegar ainda mais nas redes das suas vítimas. Alguns especialistas estão a encontrar vítimas que parecem ter mais do que um tipo de backdoor instalado, com algumas a terem três web shells instalados; um outro tinha oito backdoors diferentes. Assim, mesmo que os servidores tenham recebido o patch, o número de vítimas deverá aumentar nos próximos tempos. Há, no entanto, uma mensagem clara para todos os que foram de alguma maneira afetados por estas vulnerabilidades, mesmo os que já instalaram a patch de segurança: façam backup de todos os dados armazenados nos servidores. Imediatamente. E mantenham esses backups desconectados de tudo. AnatomiaNo total são quatro vulnerabilidades que, em conjunto, são conhecidas por ProxyLogon. Estas vulnerabilidades impactam o Exchange Server 2013, 2016 e 2019, com o Exchange Online a não ser afetado. O CVE-2021-26855 é uma vulnerabilidade Server Side Request Forgery (SSRF) que leva a solicitações HTTP criadas a serem enviadas por atacantes não autenticados. Os servidores têm de aceitar conexões não confiáveis na porta 443 para que o bug seja acionado. Já o CVE-2021-26857 é uma vulnerabilidade de deserialization insegura no Exchange Unified Messaging Service que permite a implementação de código arbitrário no SYSTEM. Esta vulnerabilidade, no entanto, precisa de ser combinada com outra ou só podem ser tilizadas com credenciais roubadas para ser utilizada. Por fim, as vulnerabilidades CVE-2021-26858 e CVE-2021-27065 são vulnerabilidades de gravação de arquivos arbitrários pós-autenticação para gravar nas paths. Em resumo, a Microsoft explica que os atacantes podem assegurar acesso aos servidores Exchange vulneráveis através dos bugs ou do roubo de credenciais para, depois, criar uma web shell para sequestrar o sistema e executar comandos remotamente. Em declarações ao IT Channel, a Microsoft indicou que “continuamos comprometidos em apoiar os nossos clientes face a estes ataques, em inovar a nossa abordagem de segurança e em formar Parcerias estreitas com governos e a indústria de segurança para ajudar a manter os nossos clientes e comunidades seguras”. CiberespionagemNuma primeira fase, ainda antes de serem conhecidas do grande público, estas vulnerabilidades terão sido utilizadas por um grupo de ciberespiões patrocinados pela China, o Hafnium. No seu blog, a Microsoft indicou que o Hafnium tinha como principais alvos “entidades nos Estados Unidos em vários setores de indústria” e que o grupo tinha “comprometido anteriormente vítimas ao explorar vulnerabilidade de servidores internet-facing. Depois de ganharem acesso à rede da vítima, o Hafnium tipicamente exfiltra dados para sites de partilha de ficheiros como o MEGA”. O grupo utilizou as quatro vulnerabilidades para ganhar acesso e, depois, instala web shells nos servidores comprometidos. Em comunicado, Mat Gangwer, Senior Director, Managed Threat Response da Sophos, aconselha as empresas a reverem os logs no servidor “em busca de indícios de que um atacante possa ter invadido o seu servidor Exchange”. No caso de encontrar uma atividade suspeita, “deve determinar a sua exposição, uma vez que assim poderá decidir o que fazer em seguida. Será necessário saber a duração e o impacto que a atividade possa ter tido”. Linha do tempo
|