Proponha uma correção, faça uma sugestão
Hackers criminosos atacam 30 mil empresas através de falha no email Microsoft Exchange
A falha de segurança do Microsoft Exchange Server está a tornar-se num gigante problema de segurança. Segundo alguns relatórios, os atacantes, grupos ligados ao governo da China (mas que operam fora do país), foram identificados a espiar mais de 30 mil organizações nos Estados Unidos, através de quatro vulnerabilidades zero day. Estas são falhas de segurança recém-encontradas no software de emails para servidores Windows, o Microsoft Exchange.
De acordo com várias informações, além das mais de 30 mil organizações, estão já a ser atacadas empresas na Noruega e na República Checa. Estas empresas tiveram os seus emails invadidos.
Hafnium, a organização criminosa que está atacar a falha no Microsoft Exchange
Revelado a 3 de março pela Microsoft, o ataque do grupo chinês de hacking "Hafnium" visou vulnerabilidades no software da Microsoft que provocou o lançamento de correções. Pouco depois do anúncio, a Hafnium intensificou os seus ataques para atingir milhares de organizações norte-americanas e outras em todo o mundo no espaço de poucos dias. Contudo, outras organizações criminosas juntaram-se à luta.
Segundo informações partilhadas por peritos em segurança ao Financial Times, há mais grupos de hacking que estão a aproveitar a oportunidade para realizar os seus próprios ataques usando a mesma vulnerabilidade. Os hackers, incluindo grupos criminosos, estão a intervir para tirar partido das falhas de software antes que as organizações que hospedam servidores possam corrigir e proteger os mesmos.
Para muitos, será demasiado tarde para corrigir o problema.
Todas as possíveis vítimas que não tinham corrigido até meados do fim da semana passada já foram atingidas por pelo menos um ou vários ataques.
Referiu Dmitri Alperovitch, co-fundador do grupo de segurança CrowdStrike.
Fora dos Estados Unidos, a Autoridade Bancária Europeia tornou-se o primeiro grande organismo público a confirmar que estava comprometido por ataques.
Hackers atacam mais de 30 mil organizações
A escala dos ataques inflacionados será um problema grave durante algum tempo, levando a uma intervenção governamental. A Cybersecurity and Infrastructure Security Agency (CISA) instou "todas as organizações de todos os sectores a seguirem orientações para enfrentar a exploração generalizada das vulnerabilidades a nível nacional e internacional".
Há também conselhos para a utilização da ferramenta IOC Detection Tool da Microsoft para determinar se se chegou a comprometer sistemas vulneráveis.
Entretanto, o Conselho de Segurança Nacional da Casa Branca afirmou que "é essencial que qualquer organização com um servidor vulnerável tome medidas imediatas para determinar se já foram visados".
A Microsoft lançou atualizações de emergência imediatamente após descobrir as vulnerabilidades. No entanto, muitas empresas ainda utilizam versões mais antigas do software (de 2013 a 2019).
Esta falha de segurança é atroz. Antes dos patches serem lançados, não havia defesa - era e é uma vulnerabilidade zero day de execução remota de código de pré-autenticação. Os invasores podem simplesmente entrar, colocar os seus webshells e ir embora com os seus dados [...] Se ainda não perdeu uma noite de sono, vai perder duas a partir de amanhã.
Escreve Rupert Goodwins, no site The Register.
Este artigo tem mais de um ano
Loading ...
Viva o 365!
O 365 não foi afetado.
No inicio da semana passada a Microsoft já tinha alertado todos os clientes com suporte ativo para o problema, assim como também enviou o patch para correção.
Embora que escreveu o artigo não esteja informado sobre o assunto este problema também afetou a versão 2010 e também foi corrigido.
Por isso é que disse: Viva o 365 😉
Só afecta exchange on-prem, nada de 365, é só fazer a instalação do CU com o patch, nada de especial. Problema normalmente é o tempo para programar para fazer um rollout num ambiente com 20 ou 30 servidores de exchange.
Se tiveres o Exchange todo alterado com configuracoes ve o resultado
apos a instalacao de novo CU, agarra-te a cadeira
Só gente maluca faz costumizações não suportadas ao exchange.
Maior problema são as integrações e dependencias, sejam elas Teams, Sharepoint, central telefonica, voicemail, tudo requer planeamento, por isso primeiro se fazem estes testes em ambientes de desenvolvimento e só depois se passa para produção.
Aqui ainda não actualizámos, pelo que ouço o pessoal planear 2 meses para ter tudo patched, 30 servidores + adfs, divididos por 5 datacenters em 3 continentes.
99% dos utilizadores nem sabem o que é o Exchange
….,”Há também conselhos para a utilização da ferramenta IOC Detection Tool da” … o link tem um “m” a menos deveria ser .com e está .co (?)
Cumps
Boas. Não sei se percebi bem, mas esse link tem um site que o endereço acaba em html devo estar a perceber mal. Se puderes ser mais explicito agradeço.
Obrigado Amândio.
o amandio não sabe que nem todos os sitem acabam em .com
Pode não ser isso, eu é que não percebi, mas pode ser algo que não estou a ver. E agradeço que se encontrarem algum “bug” que nos alertem.
Penso que o Amândio Reis estava a alertar para o domínio do link terminar em .co, talvez achando que se tratasse de uma “gralha”, no entanto o domínio está correcto, é efectivamente securityaffairs.co, e não securityaffairs.com.
Tem que se criminalizar fortemente estes Ruis Pintos! Roubam, matam (envenenam), etc! Estão a ficar uma ameaça séria para as sociedades!
Não basta o Windows ser um queijo suíço agora o Exchange também é!! Fogo!! Microsoft é melhor contratar engenheiros informáticos e despedir esses pseudo engenheiros ou melhor peçam ajuda às empresas de Linux para lhes ensinarem.
Certificados de utilizador obrigatorios, sem eles nao entram.
Outra vantagem de um CA self signed interno com um import
para os browsers dos users. Como o CA e interno nao faz parte da lista
de CA publicos, mais uma barreira.
Certificados de utilizador obrigatorios signed by our internal CA.
Linux OpenSSL
E passas a limitar o utilizador que está de férias e não tem acesso ao pc e precisa de ir ao webmail ou o que como está em home office está a usar o pc pessoal, ou ainda o que acabou de entrar na empresa e que por falta de stock foi ali ao best buy comprar um porque o director assim mandou e chegou a casa não conseguia ter email…
O mundo ideal e o mundo real são bem diferentes.
Entao nao sei o que andas aqui a fazer, abre o resto para facilitar que isto da seguranca e um empecilho para quem quer trabalhar
Se fosse linear todas as empresas exigiam VPN + NAC Enforced, de preferência com CyberArk pelo meio para acesso apenas em ambiente VDI.
Get real, é preciso existir um compromisso entre segurança e as necessidades da empresa.
Qualquer Zé com uns quantos milhões de budget implementa os melhores cenários de segurança, pior é depois o pessoal conseguir trabalhar para pagar o investimento que lhes bloqueou o acesso.
“A Microsoft lançou atualizações de emergência imediatamente após descobrir as vulnerabilidades.” Isto não é verdade.
A Microsoft foi notificada em Janeiro. Somente neste mês as coisas agravaram e então a Microsoft lançou o patch… Esperou demasiado…
https://proxylogon.com/ (Site dedicado ao exploit – ver Timeline)
É um timeline normal, por algum motivo existe a politica dos 120 dias para disclosure.
Até acho que se portaram muito bem, tanto a Microsoft como a DEVCORE, conseguiram em menos de 2 meses ter os patchs. Para mim isso é imediatamente após descobrir, ou pensas que os patchs para ambientes destes se implementam de um dia para o outro?
Grande problema aqui foi que mal foi tornado publico começaram exploits em massa e como são exploits faceis muitas empresas estão a ser atacadas.
Vale a pena lembrar que há 16 anos que o exchange não era comprometido, ainda na sua versão 2003.