Ataque ao Microsoft Exchange: O que fazer se fui afetado?

Raras são as campanhas de espionagem cibernética que vão a público na escala da situação atual do Microsoft Exchange Server. Contudo, quatro vulnerabilidades foram exploradas por um grupo de ameaças apoiado pelo Estado e vinculado à China, de acordo com a Microsoft.

Acredita-se que pelo menos 30.000 organizações já tenham sido atingidas nos Estados Unidos, mas o número pode ser muito maior ao redor do mundo, dando aos atacantes controle remoto sobre os sistemas das vítimas. Em nossa verificação mais recente do Shodan, ainda existem cerca de 63.000 servidores expostos vulneráveis a essas explorações.

Aplicar os patches disponíveis deve ser uma prioridade, ou desconecte quaisquer servidores vulneráveis que você possa estar executando, se não puder aplicar o patch imediatamente. Neste momento, qualquer pessoa com um servidor Exchange precisa realizar uma investigação para verificar se há sinais de comprometimento.

Reiteramos totalmente as recomendações da Microsoft e de outros. Além disso, os clientes XDR existentes podem usar consultas predefinidas no Trend Micro Vision One para pesquisar sinais de ataque em seu ambiente. Essas consultas podem ser encontradas em nosso artigo da Knowledge Base, junto com detalhes sobre as detecções e proteções adicionadas que os clientes podem aproveitar em todas as soluções de segurança.

 

O que aconteceu?

Os ataques foram rastreados até 6 de janeiro de 2021, quando um novo grupo de agentes posteriormente denominado “Hafnium” pela Microsoft começou a explorar quatro bugs de dia zero no Microsoft Exchange Server. O grupo está usando servidores virtuais privados (virtual private servers ou VPS) localizados nos Estados Unidos para tentar ocultar sua verdadeira localização. A Microsoft lançou patches fora de banda de emergência no começo do mês de março, dizendo na época:

“Nos ataques observados, o agente da ameaça usou essas vulnerabilidades para acessar os servidores Exchange locais que possibilitaram o acesso a contas de e-mail e permitiam a instalação de malware adicional para facilitar o acesso de longo prazo aos ambientes das vítimas”.

Se encadeadas, as vulnerabilidades podem ser exploradas para permitir que os invasores se autentiquem como o Exchange server, executem o código como Sistema e gravem um arquivo em qualquer caminho do servidor. Depois de explorar os quatro bugs, diz-se que o Hafnium implanta web shells que permitem ao grupo roubar dados e executar ações maliciosas adicionais para comprometer ainda mais seus alvos. Isso pode incluir a implantação de ransomware nas organizações das vítimas.

Tanto a Casa Branca quanto a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (Cybersecurity and Infrastructure Security Agency ou CISA) estão extremamente preocupadas com as consequências de longo alcance da campanha. A CISA ordenou que agências governamentais corrigissem agora ou desconectassem seus servidores Exchange locais.

Há também uma possível conexão com a pesquisa de web shell Chopper ASPX que publicamos em janeiro de 2021. A Trend Micro Research está analisando mais detalhadamente como as campanhas podem estar relacionadas e se existem outras que podem estar em andamento.

 

Eu fui afetado?

Na avaliação inicial da Microsoft, ela afirmou que o Hafnium já tinha como alvo organizações em setores como pesquisa de doenças infecciosas, jurídico, ensino superior, defesa, grupos de reflexão sobre políticas e ONGs. No entanto, há sugestões de que a última onda expansiva de ataques pode ser obra de outros agentes de ameaças. Seja qual for a fonte, o ex-chefe da CISA, Chris Krebs, adverte que pequenas e médias empresas, organizações do setor educacional e governos estaduais e locais podem ser afetados de forma desproporcional, pois muitas vezes têm menos recursos para gastar em segurança.

Se você executar servidores Exchange locais, veja como verificar se você está sendo afetado:

  •   Verifique os logs do Exchange Server com a ferramenta de detecção da Microsoft para checar se há comprometimento.
  •   Execute uma varredura manual com o Trend Micro Vision One para os indicadores de comprometimento (IoCs) conhecidos associados a esta campanha.

 

O que acontece depois?

Se você executou uma verificação e descobriu que seu ambiente ainda não foi comprometido, e você ainda não fez o patch, aplique os patches lançados pela Microsoft o mais rápido possível.

Se você executar a verificação usando a ferramenta da Microsoft e vir evidências de que um invasor pode ter explorado essas vulnerabilidades em seu ambiente, você está agora no modo de resposta a incidentes.

Mas a abordagem que você adota pode depender de seus recursos internos e da situação. Este é o nosso conselho para pequenas e médias empresas e organizações empresariais.

  1.       Se você não tem uma equipe de segurança interna, entre em contato com seu fornecedor de segurança ou MSP para obter suporte.
  2.       Se você tiver uma equipe interna de resposta a incidentes, eles trabalharão para identificar as próximas etapas.
  3.       Não refaça a imagem de nenhuma máquina até que uma varredura forense tenha sido feita para garantir que você preservou todos os IoCs.
  4.       Entre em contato com sua equipe jurídica para discutir os requisitos de notificação de violação.

Para obter mais informações sobre as detecções da Trend Micro e as proteções adicionadas específicas a esta campanha, consulte este artigo da Knowledge Base, que será atualizado à medida que mais informações forem obtidas: https://success.trendmicro.com/solution/000285882.

 

Category: Ataques e Ameaças
Tags: ,
Trend Micro

Categorias

Veja outras publicações

Menu