Cibercriminosos começam a pesquisar na web por servidores Exchange vulneráveis cinco minutos depois de o comunicado de segurança da Microsoft se tornar público. A constatação tem como base análise de dados de ameaças coletadas de empresas entre janeiro e março deste ano pela Palo Alto Networks, cujos resultados estão compilados no relatório de ameaças de superfície de ataque Cortex Xpanse de 2021.
Segundo o levantamento, quando vulnerabilidades críticas em software amplamente adotado são tornadas públicas, isso pode desencadear uma corrida entre invasores e administradores de TI: uma para encontrar alvos adequados — especialmente quando um código de prova de conceito (PoC) está disponível ou um bug é fácil de explorar — e a equipe de TI para realizar avaliações de risco e implementar os patches necessários.
O relatório diz que, em particular, as vulnerabilidades de dia zero podem levar a varreduras do invasor em até 15 minutos após a divulgação pública.
Os pesquisadores de Palo Alto dizem que os invasores “trabalharam mais rápido” no que diz respeito ao Microsoft Exchange, no entanto, e as varreduras foram detectadas em menos de cinco minutos.
Em 2 de março, a Microsoft divulgou a existência de quatro vulnerabilidades de dia zero no Exchange Server. Os quatro problemas de segurança, com impacto coletivo no Exchange Server 2013, 2016 e 2019, foram explorados pelo grupo chinês de ameaças persistentes avançadas (APT) Hafnium — e outros APTs, incluindo LuckyMouse, Tick e Winnti Group, seguiram o exemplo rapidamente.
A divulgação de segurança desencadeou uma onda de ataques e, três semanas depois, eles ainda estavam em andamento. Na época, pesquisadores da F-Secure disseram que servidores vulneráveis estavam “sendo hackeados mais rápido do que podemos contar”.
Veja isso
Novas falhas voltam a pôr em risco servidores Exchange
Exploits do Exchange agora são usados por botnet para minerar criptomoeda
É possível que a disponibilidade geral de serviços baratos em nuvem tenha ajudado não apenas os APTs, mas também grupos menores de cibercriminosos e indivíduos a tirar proveito de novas vulnerabilidades à medida que aparecem.
“A computação se tornou tão barata que um possível invasor precisa gastar apenas cerca de US$ 10 para alugar a capacidade da computação em nuvem para fazer uma varredura imprecisa de toda a internet em busca de sistemas vulneráveis”, diz o relatório. “Sabemos pelo aumento de ataques bem-sucedidos que os adversários estão regularmente vencendo corridas para corrigir novas vulnerabilidades.”
A pesquisa também destaca o protocolo de área de trabalho remota (RDP) como a causa mais comum de fraqueza de segurança entre redes corporativas, respondendo por 32% dos problemas gerais de segurança, uma área especialmente problemática, já que muitas empresas fizeram uma rápida mudança para a nuvem no ano passado. para permitir que seus funcionários trabalhem remotamente.
“Isso é preocupante porque o RDP pode fornecer acesso de administrador direto aos servidores, tornando-o um dos gateways mais comuns para ataques de ransomware”, observa o relatório. “Eles representam um fruto mais fácil para os invasores, mas há motivos para otimismo: a maioria das vulnerabilidades que descobrimos podem ser facilmente corrigidas.”