Número de ataques contra servidores Exchange aumentou 10 vezes na última semana

Mais de 100 mil servidores on-premise podem ter sido afetados no ataque zero-day que explorou vulnerabilidades do Exchange

O ataque zero-day aos servidores Microsoft pode ainda render trabalho aos profissionais de segurança da informação. Na última semana, o volume de ataques contra servidores Exchange on-Premise aumentou 10 vezes – e, de acordo com especialistas, ao menos uma dezena de grupos avançados em técnicas de hacking estão atuando nas invasões – algo completamente incomum neste tipo de ataque. O Brasil é o quinto país mais atacado do mundo.

“É possível que esses grupos estejam trabalhando na engenharia reversa das atualizações, aprimorando os exploits – existe uma ameaça potencial de um ataque em escala ainda maior”, observa Carlos Rodrigues, vice-presidente da Varonis para América Latina.

“Na realidade, nós não estamos surpresos em como esse ataque avançou – há pelo menos dois meses a vulnerabilidade do ProxyLogon tem sido usada por hackers, sem qualquer ação de correção”, explica Rodrigues.

De acordo com estimativas não-oficiais, mais de 100 mil servidores on-Premise podem ter sido afetados. Até o final da semana passada, aproximadamente 82 mil continuavam sem as correções – embora as primeiras correções tenham sido publicadas em 2 de março passado. Pesquisadores da ESET apontaram, na última quarta-feira, que ainda não está claro como aconteceu a distribuição do exploit – devido ao número incomum de grupos agindo ao mesmo tempo. O problema é que outros grupos deverão usar a vulnerabilidade nos próximos dias, multiplicando as variantes e o tipo de ação.

“O maior problema é que essa vulnerabilidade permite que o invasor obtenha acesso ao sistema – podendo navegar horizontalmente por outras máquinas. Ou seja: o criminoso acessa qualquer nível de informação, sem precisar de senhas internas ou credenciais. Qualquer empresa que use o servidor on-Premise deve assumir imediatamente que foi atacada, e seguir com os procedimentos de correção e prevenção de danos maiores. A menos que a empresa tenha ferramentas de detecção de comportamento anômalo de usuários, dificilmente será possível identificar qualquer problema com os recursos tradicionais”, diz Rodrigues.

Grupo chinês

“Ameaças batizadas de “zero-day” se aproveitam das vulnerabilidades descobertas no mesmo dia do lançamento de uma correção. O problema é que, quase sempre, há um delay entre o lançamento do patch e a atualização por parte do usuário. Por isso, é imprescindível que o sistema operacional seja configurado para receber atualizações automáticas”, explica Rodrigues. 

O especialista recomenda, ainda, fazer um balanço dos servidores e contas Exchange, remover shells da web, que são interfaces que permitem acessar o sistema operacional, e identificar os Indicadores de Comprometimento (IOCs), como volume anormal de leitura de banco de dados, atividade incomum no tráfego de saída da rede, solicitações de DNS com desvio, entre outros.