A Segurança Interna Declara Ataque & quot; Emergência & quot; do Microsoft Exchange;
A Segurança Interna declarou um ataque contínuo contra o Microsoft Exchange como uma emergência. Os ataques, que começaram no início desta semana, têm como alvo os servidores Microsoft Exchange, agrupando várias explorações de dia zero para acessar contas de e-mail seguras.
Segurança interna: Ataque é um "risco inaceitável"
A Segurança Interna emitiu a Diretiva de Emergência 21-02 no final de 3 de março, apresentando algumas informações básicas sobre o ataque ao Microsoft Exchange.
Os parceiros da CISA observaram a exploração ativa de vulnerabilidades em produtos locais do Microsoft Exchange. Atualmente, nem as vulnerabilidades nem a atividade de exploração identificada afetam as implantações do Microsoft 365 ou do Azure Cloud. A exploração bem-sucedida dessas vulnerabilidades permite que um invasor acesse servidores Exchange locais, permitindo que eles obtenham acesso persistente ao sistema e controle de uma rede corporativa.
A diretriz então explica que um ataque dessa natureza "representa um risco inaceitável para as agências do Poder Executivo Civil Federal e requer ação emergencial".
A Segurança Interna estabeleceu um prazo de 12h EST na sexta-feira, 5 de março, para que as agências federais cumpram os protocolos de análise e mitigação estabelecidos na diretiva.
Atualmente, cada agência deve identificar seus Microsoft Exchange Servers, concluir uma triagem forense de sua memória de sistema, logs e seções de registro e, em seguida, analisar os resultados para quaisquer indicadores de roubo de credencial ou outros comprometimentos.
Quem está atacando os servidores Microsoft Exchange?
A Microsoft apontou o número diretamente para um grupo de hackers de estado-nação chinês conhecido como HAFNIUM. Normalmente, as empresas demoram um pouco mais antes de se comprometerem a nomear um suspeito, mas a Microsoft tem poucas dúvidas de que um "ator altamente qualificado e sofisticado" está por trás do ataque.
O Microsoft Threat Intelligence Center (MSTIC) atribui esta campanha com alta confiança ao HAFNIUM, um grupo avaliado para ser patrocinado pelo Estado e operando fora da China, com base na vitimologia, táticas e procedimentos observados.
Parte do motivo para isso é que o ataque do Microsoft Exchange agrupa quatro vulnerabilidades anteriormente desconhecidas. Você pode ler os detalhes no blog oficial de Segurança da Microsoft .
A Microsoft também observa que observou o HAFNIUM interagindo com seu pacote Microsoft Office 365, investigando vulnerabilidades. Ele também confirmou que esse ataque não tem relação com a SolarWinds, o enorme ataque cibernético que afetou várias agências governamentais dos Estados Unidos, juntamente com várias empresas líderes de tecnologia.
A boa notícia é que, embora esses ataques continuem e representem uma ameaça significativa contra os Microsoft Exchange Servers, a equipe de segurança da Microsoft já lançou uma série de patches para atenuar as vulnerabilidades.
Você pode encontrar mais detalhes sobre os patches do Microsoft Exchange Server no site Microsoft Tech Community , incluindo como baixar e instalar as atualizações, bem como como verificar se há sinais de comprometimento em seus servidores Exchange.
