Relatório: 92 por cento dos servidores Microsoft Exchange agora estão protegidos contra ProxyLogon
A Microsoft relata que cerca de 92 por cento de todos os Microsoft Exchange Servers agora estão atualizados e protegidos contra a vulnerabilidade ProxyLogon que atormentou o serviço – e as equipes de pesquisa e resposta de segurança – por semanas.
O número de Microsoft Exchange Servers sem patch é de cerca de 30.000, abaixo de um máximo de cerca de 400.000.
Grande redução em servidores Microsoft Exchange vulneráveis
Um número total exato de Microsoft Exchange Servers vulneráveis não é conhecido.
No entanto, em 2 de março, quando a Microsoft lançou seu primeiro conjunto de patches de segurança, cerca de 400.000 servidores Exchange estavam vulneráveis à vulnerabilidade ProxyLogon. Uma semana depois que os patches de segurança foram lançados e implementados, em 9 de março, esse número caiu para cerca de 100.000 servidores sem patch.
Agora, o último relatório da Microsoft indica que existem menos de 30.000 servidores Exchange vulneráveis restantes.
Nosso trabalho continua, mas estamos vendo um forte impulso para atualizações do Exchange Server no local:
• 92% dos IPs do Exchange em todo o mundo agora são corrigidos ou mitigados.
• 43% de melhora em todo o mundo na última semana. pic.twitter.com/YhgpnMdlOX– Resposta de segurança (@msftsecresponse) 22 de março de 2021
Desde aquele tweet, é provável que o número tenha diminuído ainda mais.
A Microsoft tomou medidas substanciais para proteger os Microsoft Exchange Servers vulneráveis em face da vulnerabilidade ProxyLogon prolongada. Por exemplo, a Exchange On-Premises Mitigation Tool (EOMT) é uma ferramenta de patch ProxyLogon de um clique que torna mais fácil para os clientes do Microsoft Exchange Server protegerem rapidamente sua infraestrutura.
A Microsoft também adicionou uma ferramenta de patch automático Microsoft Defender. De acordo com uma postagem no blog oficial de segurança da Microsoft , os clientes que usam o Microsoft Defender Antivirus e o System Center Endpoint Protection "reduzirão automaticamente o CVE-2021-26855 em qualquer Exchange Server vulnerável no qual ele esteja implantado".
Este é o fim do ProxyLogon?
O ProxyLogon tem sido um problema sério para os clientes do Exchange Server da Microsoft. O ataque afetou dezenas de milhares de servidores, cobrindo empresas de todas as formas e tamanhos.
A vulnerabilidade ProxyLogon juntou quatro exploits de dia zero para atacar os servidores Microsoft Exchange. Após a divulgação da vulnerabilidade, vários setores em todo o mundo relataram um aumento nos ataques, com clientes do Microsoft Exchange Server relatando malware de mineração de criptomoedas, vários tipos de ransomware, shells da web e muito mais, todos implantados por partes mal-intencionadas.
Uma postagem no blog da ESET Research descobriu que os servidores Microsoft Exchange estavam sob ataque de "pelo menos 10 grupos APT [Advanced Persistent Threat]", todos os quais buscavam capitalizar sobre a vulnerabilidade.
Percebemos que as vulnerabilidades foram usadas por outros atores de ameaças, começando com Tick e rapidamente acrescentados por LuckyMouse, Calypso e o Grupo Winnti. Isso sugere que vários agentes de ameaças obtiveram acesso aos detalhes das vulnerabilidades antes do lançamento do patch, o que significa que podemos descartar a possibilidade de que eles construíram um exploit por engenharia reversa das atualizações da Microsoft.
A vulnerabilidade do ProxyLogon ainda não acabou. Ainda existem mais de 20.000 servidores Microsoft Exchange vulneráveis, mas clientes e empresas de segurança esperam que o fim esteja próximo.
