Explorações em organizações no mundo crescem dez vezes após a revelação das vulnerabilidades de dia zero do Microsoft Exchange

Salvador, 15/03/2021 – A Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point, uma fornecedora líder de soluções de cibersegurança global, observou desde a última quinta-feira até o momento que o número de tentativas de exploração nas empresas em todo o mundo, em relação às vulnerabilidades de dia zero do servidor Microsoft Exchange, aumentou em dez vezes, ou seja, de 700 ataques em 11 de março para mais de 7 mil (7.200 exatos) nesta segunda-feira, 15 de março.

Desde as vulnerabilidades recentemente divulgadas nos servidores Microsoft Exchange, teve início uma corrida entre os cibercriminosos e os profissionais de cibersegurança. Especialistas globais estão usando esforços preventivos massivos para combater os atacantes que trabalham dia após dia para produzir uma exploração com a qual podem alavancar com sucesso as vulnerabilidades de execução remota de código no Microsoft Exchange.

De todas as empresas atacadas, 23% de todas as tentativas de exploração são dos setores público/Governo e militar, seguido pelos setores da indústria/manufatura (15%), serviços bancários e financeiros (14%), fornecedores de software (7%) e saúde (6%).

“É urgente e imprescindível que as empresas façam uma avaliação completa de suas redes ativas para buscar por potenciais ameaças. Desta maneira irão prevenir ataques futuros, pois um atacante pode extrair os seus e-mails corporativos ou executar atividades danosas sem o seu conhecimento. Com um servidor comprometido, a porta está aberta a acessos não autorizados e incorporação de códigos maliciosos na sua organização”, alerta Claudio Bannwart, country manager da Check Point Brasil.

Prevenir futuros ataques e permanecer em segurança

As vulnerabilidades divulgadas pela Microsoft foram:

• CVE-2021-26855 – é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que o cibercriminoso envie solicitações HTTP arbitrárias e se autentique como o servidor Exchange.

• CVE-2021-26857 – é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis, controlados pelo usuário, são extraídos por um programa. A exploração desta vulnerabilidade dá ao HAFNIUM (grupo de hackers) a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.

• CVE-2021-26858 – é uma vulnerabilidade arbitrária de gravação de arquivo após autenticação no Exchange. Se o HAFNIUM pudesse autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.

• CVE-2021-27065 – é uma vulnerabilidade pós-autenticação de gravação de arquivo arbitrária no Exchange. Se HAFNIUM pudesse autenticar com o servidor Exchange, ele poderia usar esta vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.

Para evitar ataques futuros e manter a organização segura contra as explorações a estas vulnerabilidades, a Check Point faz as seguintes recomendações:

• Patch – atualizar imediatamente todos os Microsoft Exchange Servers para as versões com patches mais recentes disponíveis pela Microsoft. Esta atualização não é automática e espera-se que os responsáveis nas empresas a executem manualmente.

• Proteções de prevenção de ameaças – a Check Point oferece cobertura de segurança abrangente para as vulnerabilidades relatadas pela Microsoft com as seguintes proteções de prevenção de ameaças:

IPS : Utilizar o Intrusion Prevention System (IPS) para garantir proteção contra tentativas de exploração de falhas em sistemas ou aplicações vulneráveis:

. CVE-2021-26855 – CPAI-2021-0099

. CVE-2021-26857 – CPAI-2021-0107

. CVE-2021-26858 – CPAI-2021-0107

. CVE-2021-27065 – CPAI-2021-0099

Emulação de ameaça:

. Trojan.WinsCVE-2021-27065.A

Antivírus:

. HAFNIUM.TC. Xxx

. Trojan.Win32.Hafnium.TC.XXX

Proteção de endpoints: O antivírus convencional é uma solução altamente eficaz na prevenção contra os ataques conhecidos, já que protege contra a maioria dos malwares. Para evitar falhas de segurança ou vazamento de dados, é importante investir em uma solução de proteção de endpoints abrangente que garanta os mais altos níveis de segurança.

. Behavioral.Win.SuspExchange.A

. Behavioral.Win.SuspExchange.B

. Behavioral.Win.SuspExchange.C

. Behavioral.Win.SuspExchange.D

Últimas notícias

Segurança
SonicWall inaugura EBC dentro de seu distribuidor Esy

Salvador, 24/04/2024 – A SonicWall, provedora de proteção de cibersegurança para forças de trabalho remotas, móveis e habilitadas na nuvem, anuncia sua parceria com a Esy – distribuidora especializada em soluções de segurança – no suporte a parceiros que buscam se transformar em MSSPs (Provedores de Serviços Gerenciados de Segurança). “Sabemos que a jornada de […]
Vagas de TI
Vivo abre 500 vagas para programa de estágio

Processo seletivo será online e as oportunidades são para 15 cidades do país Salvador, 24/04/2024 – O Programa de Estágio da Vivo está com cerca de 500 vagas abertas para 15 cidades do país: São Paulo (SP), Brasília (DF), Belo Horizonte (BH), Curitiba (PR), Fortaleza (CE), Porto Alegre (RS), Recife (PE), Rio de Janeiro (RJ), […]
Serviços
SoftwareOne alcança competência em serviços SaaS AWS

Salvador, 23/04/2024 – A SoftwareOne, líder global de software e soluções em nuvem, anuncia sua recente conquista de competência de serviços SaaS da Amazon Web Services (AWS). A novidade reafirma a sua experiência e compromisso em ajudar Fornecedores Independentes de Software (ISVs) a desbloquearem sua capacidade de migrar e modernizar seus aplicativos legados para se […]
Tecnologia
Inteligência artificial irá revolucionar diagnóstico de doenças, afirma especialista do IEEE

Salvador, 23/04/2024 – Com diagnósticos precoces, medicina personalizada e maior organização logística, a IA irá revolucionar a forma como os médicos diagnosticam doenças e tratam pacientes. É o que afirma a especialista Cristiane Pimentel, membro sênior do Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) – maior organização profissional técnica do mundo dedicada ao avanço da […]
Serviços
Atos diversifica as atividades do Instituto Pasteur em Dakar com sistema de TI integrado

Salvador, 23/04/2024 – A Atos foi selecionada pelo Instituto Pasteur em Dakar, no Senegal, como parte de um grande projeto para incentivar a diversificação das atividades industriais do instituto. A parceria consiste na implementação de um sistema integrado de gestão de processos e gerenciamento de manutenção informatizado. Este contrato faz parte da estratégia de desenvolvimento […]

Menu