microsoft-4417277_1920-1.jpg

Microsoft lança patches de segurança ‘out-of-band’ para o Exchange Server

Empresa lançou uma atualização de segurança de emergência fora de época para corrigir quatro vulnerabilidades de dia zero no sistema
Da Redação
04/03/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

A Microsoft lançou uma atualização de segurança de emergência out-of-band (fora de época) para corrigir quatro vulnerabilidades de dia zero no Exchange Server, que segundo a empresa vêm sendo exploradas por hackers supostamente apoiados pelo governo chinês.

A etapa incomum foi realizada para proteger os clientes que executam versões on premises (não em nuvem) do Exchange Server. “Nos ataques observados, o operador da ameaça usou essas vulnerabilidades para acessar servidores Exchange on premises, que permitiam o acesso a contas de e-mail e a instalação de malware adicional para facilitar o acesso de longo prazo aos ambientes das vítimas”, disse a Microsoft.

O Microsoft Threat Intelligence Center (MSTIC) atribui esta campanha ao Hafnium, um grupo conhecido para ser patrocinado e operando fora da China, com base no conceito de vitimologia, que usa táticas e procedimentos que geram efeitos psicológicos nas vítimas, estreitando as relações entre as vítimas e os infratores.

As quatro vunerabilidades de dia zero são: bug de falsificação de solicitação do lado do servidor CVE-2021-26855; falhas de gravação de arquivo arbitrário pós-autenticação CVE-2021-27065; e CVE-2021-26858 e CVE-2021-26857, que são uma desserialização insegura no serviço de Unificação de Mensagens.

Veja isso
Microsoft alerta usuários do Office 365 sobre hacking de Estados-nação
Microsoft recomenda zero trust para evitar hacks sofisticados

Combinadas, as vulnerabilidades podem permitir que invasores se autentiquem como o servidor Exchange, executem códigos como Sistema e gravem um arquivo em qualquer caminho do servidor. Depois de explorar os quatro bugs, os invasores podem implantar shells da web que lhes permitem roubar dados e executar ações maliciosas adicionais para comprometer ainda mais seus alvos.

Os operadores do Hafnium geralmente trabalham em servidores privados virtuais alugados nos EUA, visando principalmente setores no país, como pesquisa de doenças infecciosas, jurídico, ensino superior, defesa, grupos de reflexão sobre políticas e ONGs, de acordo com a Microsoft.

O Hafnium já comprometeu vítimas explorando vulnerabilidades em servidores voltados para a internet e usou estruturas de código aberto legítimas, como Covenant, para comando e controle. “Depois de obter acesso à rede da vítima, o Hafnium normalmente exfiltra os dados para sites de compartilhamento de arquivos como o Mega”, explica a Microsoft.

Em campanhas não relacionadas a essas vulnerabilidades, a Microsoft observou o Hafnium interagindo com assinantes vítimas do Office 365. Embora muitas vezes não tenham sucesso em comprometer as contas dos clientes, essa atividade de reconhecimento ajuda o hacker a identificar e obter mais detalhes sobre os ambientes de seus alvos.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório