Dia zero no Microsoft Exchange: quatro vulnerabilidades descobertas e corrigidas

gurinho

A empresa de TI fundada por Bill Gates descobriu que um grupo de hackers , patrocinado pelo estado chinês e conhecido como Hafnium , usava quatro vulnerabilidades diferentes , ativando-as em concatenação para obter acesso a alguns servidores Microsoft Exchange . O principal alvo do grupo são algumas organizações norte-americanas que supostamente teriam dados roubados. Os ataques reconhecidos por enquanto são limitados, mas se as empresas não tomarem medidas imediatas, eles podem aumentar.

"Historicamente, háfnio principalmente metas entidades nos Estados Unidos com a finalidade de recuperar informações de um número de setores da indústria, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empreiteiros da defesa, think tanks políticos e ONGs.", Microsoft escreveu em seu blog . " Embora a Hafnium esteja sediada na China, ela conduz suas operações principalmente a partir de servidores virtuais privados alugados (VPS) nos Estados Unidos . "

Vulnerabilidades de dia zero são exploradas por crackers, que as procuram precisamente com a intenção de obter acesso abusivo a um sistema de computador vulnerável ou para causar um comportamento inesperado nele que pode variar de perda de dados a até mesmo problemas de funcionamento muito graves.

Microsoft Exchange: vulnerabilidades de dia zero

A empresa sediada em Redmond lançou prontamente atualizações do Microsoft Exchange com o objetivo de abordar essas vulnerabilidades de dia zero. Vulnerabilidades de dia zero (ou dia 0) são aquelas vulnerabilidades de segurança cibernética que não são conhecidas pelo desenvolvedor ou pela empresa que produziu um determinado sistema de computador, neste caso a Microsoft, mas que uma vez resolvidas por meio de atualizações perdem importância porque não podem mais ser usado contra os próprios sistemas.

O ataque, como mencionado anteriormente, explora as quatro vulnerabilidades identificadas de maneira concatenada e permite que você roube e-mail e instale malware adicional que permite o acesso a outros dados. O grupo de hackers estaria de fato interessado em roubar dados confidenciais de várias empresas americanas.

A Microsoft Corporation é uma empresa de tecnologia da informação, com sede em Redmond, Washington (EUA), criada por Bill Gates e Paul Allen em 4 de abril de 1975.

Como funciona o ataque

Conforme relatado pelo BleepingComputer, para que o ataque funcione, os invasores remotos precisam acessar um servidor Microsoft Exchange local na porta 443. Se o acesso estiver disponível, eles usarão as seguintes vulnerabilidades para obter acesso remoto:

  • CVE-2021-26855 é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite que o invasor envie solicitações HTTP arbitrárias e se autentique como um servidor Exchange.
  • CVE-2021-26857 é uma vulnerabilidade de desserialização insegura no Serviço de Unificação de Mensagens. A desserialização insegura é o ponto em que dados não confiáveis ​​controláveis ​​pelo usuário são desserializados por um programa. A exploração dessa vulnerabilidade deu ao Hafnium a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade para explorar.
  • CVE-2021-26858 é uma vulnerabilidade de gravação de arquivo arbitrária pós-autenticação no Exchange. Se o Hafnium pudesse se autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer lugar do servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
  • CVE-2021-27065 é uma vulnerabilidade de gravação de arquivo arbitrária pós-autenticação no Exchange. Se o Hafnium pudesse se autenticar no servidor Exchange, ele poderia usar essa vulnerabilidade para gravar um arquivo em qualquer lugar do servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.

“Embora tenhamos trabalhado rapidamente para lançar uma atualização contra os exploits do Hafnium, sabemos que os grupos criminosos se moverão rapidamente para tirar proveito de qualquer sistema sem patch, disse Tom Burt, vice-presidente corporativo de segurança e confiança do cliente. "A aplicação oportuna de patches lançados hoje é a melhor proteção contra esse ataque."

Devido à potencial gravidade dos ataques, a software house recomenda que os administradores instalem essas atualizações imediatamente para proteger os servidores Exchange.

Artigo de dia zero no Microsoft Exchange: Quatro vulnerabilidades descobertas e corrigidas vêm do Tech CuE | Engenharia de Close-up .