Nos últimos dias, manchetes ferozes têm aparecido nas notícias. Dezenas de milhares de empresas correm o risco de vulnerabilidades importantes no Microsoft Exchange Server. Além disso, essas vulnerabilidades seriam exploradas activamente. Mas o que realmente está a acontecer e quais são os riscos?
A Microsoft lançou no inicio desse mês, uma actualização de segurança para o Exchange Server 2019, 2016, 2013 e 2010. Essa actualização foi notável, já que a Microsoft normalmente só lança atualizações de segurança na primeira segunda terça-feira de cada mês, também conhecida como Patch Tuesday. Este patch é diferente da cadência de actualização. Outro recurso especial é que o Exchange Server 2010 também recebeu um patch: o suporte para esta versão de onze anos terminou em outubro.
No final das contas, o patch corrige quatro vulnerabilidades que podem dar aos invasores acesso a toda a rede na qual o Exchange Server está instalado. Este foi um grande problema, pois dezenas de milhares, senão centenas de milhares de empresas em todo o mundo usam o Exchange para hospedar os seus serviços de e-mail e calendário. Essas vulnerabilidades foram realmente exploradas por hackers. E são vulnerabilidades que podem ser facilmente chamadas de “o maior incidente de segurança cibernética” em pelo menos três meses.
A Microsoft explicou que existem quatro vulnerabilidades no total: CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 e CVE-2021-27065. O método de ataque, que a Microsoft chama de Hafnium, usa uma combinação dessas quatro vulnerabilidades para penetrar na rede à qual o servidor Exchange está conectado. A primeira vulnerabilidade permitiu que o invasor obtivesse acesso ao servidor Exchange. Os invasores então usaram a segunda vulnerabilidade para executar o seu próprio código na máquina hackeada. A terceira e a quarta vulnerabilidades deram ao hacker acesso de gravação a todas as pastas do servidor.
Explorando as vulnerabilidades mencionadas, os hackers obtiveram acesso total a um servidor Exchange. Com esse acesso, os hackers construíram um chamado web shell, com o qual o servidor comprometido poderia ser controlado remotamente. Usando esse acesso total, os hackers podem roubar dados da rede de uma organização.
De acordo com vários especialistas, trata-se de atacantes chineses. Os atacantes começaram a explorar as vulnerabilidades no início de Janeiro, de acordo com a empresa de segurança Volexity. A Microsoft e o governo dos EUA acreditam que os atacantes são apoiados pelo governo chinês, mas um porta-voz da China negou essas acusações.
