O Brasil é o quinto país com mais ataques direcionados aos servidores MS Exchange. Os quatro primeiros são Turquia, Estados Unidos, Itália e Alemanha (veja imagem abaixo). A informação aparece num dos últimos relatórios da Check Point Research. registrou centenas de tentativas de exploração de vulnerabilidade contra organizações em todo o mundo relacionadas às quatro vulnerabilidades de dia zero que atualmente afetam o Microsoft Exchange Server.
Nas últimas horas, a CPR observou que o número de tentativas de exploração nas empresas que rastreia dobra a cada duas ou três horas. Os pesquisadores da CPR descreveram também as vulnerabilidades divulgadas, as empresas visadas por país e por setor, bem como as recomendações para prevenir os ataques que ainda estão por vir. Especialistas em cibersegurança em todo o mundo estão fazendo extensos esforços de prevenção para combater os cibercriminosos que produzem explorações para se aproveitarem dos pontos fracos do Microsoft Exchange.
Veja isso
Mais de 10 grupos APT estão explorando as falhas do Microsoft Exchange
Ferramenta Microsoft detecta vulnerabilidade do Exchange Server
Já existe inclusive um grupo de hackers que está pegando carona no trabalho de outros e sequestrando web shells plantados em servidores Microsoft Exchange ainda não corrigidos – isso inclui os backdoors supostamente instalados por hackers chineses. Essa atividade de “sequestro” está relacionada às vulnerabilidades ProxyLogon divulgadas recentemente. São quatro vulnerabilidades que, quando combinadas, podem ser usadas para instalar shells da web em sistemas ainda não corrigidos.
A Check Point observou que de todas as empresas atacadas, 17% são dos setores público/Governo e militar e 14% do setor da indústria/manufatura. A Orange Tsai (Cheng-Da Tsai) da DevCore, uma empresa de segurança com sede em Taiwan, relatou duas vulnerabilidades em janeiro. A Microsoft investigou mais a fundo e descobriu cinco outras vulnerabilidades que permitiam a um cibercriminoso ler e-mails sem ter de se autenticar, ou acessar a conta de e-mail de um usuário. As diferentes vulnerabilidades permitem que os cibercriminosos assumam o controle total do servidor.
Uma vez que um cibercriminoso assume o controle do servidor Exchange, ele pode abrir a rede para a Internet e acessá-la remotamente. Como muitos servidores Exchange estão conectados à Internet (especificamente à função Outlook Web Access) e integrados à rede geral, isso representa um risco crítico de segurança para milhões de empresas. Se o servidor Microsoft Exchange de uma empresa tiver acesso à Internet e não tiver sido atualizado com os patches mais recentes ou protegido por software de fornecedores de cibersegurança, deve-se considerar que o servidor está comprometido. Os servidores comprometidos podem permitir que um cibercriminoso não autorizado extraia todos os e-mails corporativos e execute códigos maliciosos dentro de uma empresa com permissões elevadas.
Com agências internacionais