e-mail-65928_640.jpg

Hackers exploram vulnerabilidade em servidores Exchange

Da Redação
09/03/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Vários grupos de hackers patrocinados por estados-nação foram detectados explorando uma brecha no servidor de e-mail da Microsoft

e-mail-65928_640.jpg

Vários grupos de hackers patrocinados por governos foram detectados explorando uma falha de segurança recentemente corrigida para atingir servidores de e-mail do Microsoft Exchange. A descoberta foi feita por pesquisadores da empresa de segurança cibernética Volexity.

Segundo os pesquisadores, trata-se de uma vulnerabilidade de execução remota de código, indexada como CVE-2020-0688, a qual permite que os invasores tenham acesso a “ativos significativos” dentro de uma organização usando credenciais de usuário simples ou contas de serviço antigas.

De acordo com a Microsoft, a vulnerabilidade afeta o Microsoft Exchange Server quando falha ao criar corretamente chaves exclusivas no momento da instalação. “O conhecimento da chave de validação permite que um usuário autenticado com uma caixa de correio passe objetos arbitrários para a ‘desserialização’ do aplicativo da web, que roda como System”, afirma a empresa.

A brecha foi encontrada no componente ECP (Painel de Controle do Exchange) e faz com que o Exchange Server não consiga criar corretamente chaves criptográficas exclusivas no momento da instalação. Ele funciona em sistemas sem patch de correção, mas apenas se a interface do ECP estiver acessível ao invasor e se eles tiverem uma credencial de trabalho para acessar o ECP.

“Em alguns casos, os atacantes parecem ter esperado uma oportunidade de atacar com credenciais que, de outra forma, não tinham utilidade. Muitas organizações empregam autenticação de dois fatores (2FA) para proteger sua VPN, e-mail, etc., limitando o que um invasor pode fazer com uma senha comprometida”, explica a Volexity no relatório sobre o problema.

Até agora, a empresa observou invasores explorando o bug para executar comandos do sistema para realizar reconhecimento, implantar um backdoor de webshell acessível via OWA e executar estruturas de pós-exploração na memória. Eles também estão tentando explorar os serviços da Web do Exchange (EWS).

Em fevereiro, a Zero-Day Initiative publicou um relatório técnico no CVE-2020-0688, fornecendo detalhes sobre a vulnerabilidade. Mas, a partir do dia seguinte, os hackers começaram a varrer a internet para descobrir servidores vulneráveis ​​do Exchange que eles poderiam segmentar posteriormente.

Embora a necessidade de uma credencial comprometida desestimule muitos hackers iniciantes, aqueles mais experientes e motivados certamente representarão uma ameaça para organizações que ainda não fizeram o patch, diz a Volexity. “A maneira mais óbvia de lidar com essa vulnerabilidade é aplicar as atualizações de segurança disponibilizadas pela Microsoft em 11 de fevereiro de 2020”, afirmam os pesquisadores da Volexity no relatório. A empresa também recomenda fortemente que as organizações continuem a expirar senhas e exija que os usuários atualizem as senhas periodicamente. Com agências de notícias internacionais.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest