A Microsoft alertou os clientes do Exchange para corrigir seus servidores com urgência após relatar um aumento nos ataques que exploram uma vulnerabilidade do Internet Information Service (IIS).
Essa falha, relatada pelo CVE-2020-0688, foi corrigida em fevereiro, mas os pesquisadores de segurança ainda encontram vítimas comprometidas por esses ataques. Com o acesso ao servidor de destino, os hackers geralmente implantam um shell da web (uma ameaça à segurança da internet) para roubar dados ou executar outras ações maliciosas no futuro, explica Hardik Suri, da equipe de pesquisa do Microsoft Defender ATP.
Vários grupos APT foram detectados explorando o bug em março, mas um mês depois 350 mil servidores ainda estavam sem patch de correção, de acordo com a empresa de segurança Rapid7.
Ainda de acordo com Suri, do Microsoft Defender ATP, se comprometidos, os servidores Exchange fornecem um ambiente único que pode permitir que os invasores executem várias tarefas usando as mesmas ferramentas ou scripts internos que os administradores usam para manutenção do sistema.
Veja isso
Microsoft publica Defender ATP Android para uso corporativo
Microsoft lança megapatches para seus produtos
“Isso é exacerbado pelo fato de os servidores Exchange tradicionalmente carecerem de soluções antivírus, proteção de rede, atualizações de segurança mais recentes e configuração de segurança adequada, geralmente intencionalmente, devido à noção equivocada de que essas proteções interferem nas funções normais do Exchange. Os invasores sabem disso e utilizam esse conhecimento para obter uma base estável em uma organização-alvo”, diz ele.
Após a implantação do shell da web, os invasores podem realizar o reconhecimento, talvez usando o exploit EternalBlue — normalmente utilizado para ativar ransomware — para identificar máquinas vulneráveis na rede. Se o servidor tiver sido configurado incorretamente, eles poderão obter privilégios que lhes permitirão adicionar uma nova conta para persistência.
Os servidores Exchange comprometidos também podem habilitar o acesso credencial para alguns dos usuários e grupos mais sensíveis de uma organização, disse Suri. “A isso, seguem-se movimentos laterais, abuso do Exchange Management Shell, acesso remoto e exfiltração de dados”, acrescentou. Além de aplicar as atualizações de segurança mais recentes, os clientes do Microsoft Exchange server devem manter antivírus e outras proteções o tempo todo, analisar grupos altamente privilegiados, restringir o acesso e priorizar alertas.