A falha de segurança do Microsoft Exchange Server está a tornar-se num gigante problema de segurança. Segundo alguns relatórios, os atacantes, grupos ligados ao governo da China (mas que operam fora do país), foram identificados a espiar mais de 30 mil organizações nos Estados Unidos, através de quatro vulnerabilidades zero day. Estas são falhas de segurança recém-encontradas no software de emails para servidores Windows, o Microsoft Exchange.
De acordo com várias informações, além das mais de 30 mil organizações, estão já a ser atacadas empresas na Noruega e na República Checa. Estas empresas tiveram os seus emails invadidos.
Hafnium, a organização criminosa que está atacar a falha no Microsoft Exchange
Revelado a 3 de março pela Microsoft, o ataque do grupo chinês de hacking “Hafnium” visou vulnerabilidades no software da Microsoft que provocou o lançamento de correções. Pouco depois do anúncio, a Hafnium intensificou os seus ataques para atingir milhares de organizações norte-americanas e outras em todo o mundo no espaço de poucos dias. Contudo, outras organizações criminosas juntaram-se à luta.
Segundo informações partilhadas por peritos em segurança ao Financial Times, há mais grupos de hacking que estão a aproveitar a oportunidade para realizar os seus próprios ataques usando a mesma vulnerabilidade. Os hackers, incluindo grupos criminosos, estão a intervir para tirar partido das falhas de software antes que as organizações que hospedam servidores possam corrigir e proteger os mesmos.
Para muitos, será demasiado tarde para corrigir o problema.
Todas as possíveis vítimas que não tinham corrigido até meados do fim da semana passada já foram atingidas por pelo menos um ou vários ataques.
Referiu Dmitri Alperovitch, co-fundador do grupo de segurança CrowdStrike.
Fora dos Estados Unidos, a Autoridade Bancária Europeia tornou-se o primeiro grande organismo público a confirmar que estava comprometido por ataques.
Hackers atacam mais de 30 mil organizações
A escala dos ataques inflacionados será um problema grave durante algum tempo, levando a uma intervenção governamental. A Cybersecurity and Infrastructure Security Agency (CISA) instou “todas as organizações de todos os sectores a seguirem orientações para enfrentar a exploração generalizada das vulnerabilidades a nível nacional e internacional”.
Há também conselhos para a utilização da ferramenta IOC Detection Tool da Microsoft para determinar se se chegou a comprometer sistemas vulneráveis.
Entretanto, o Conselho de Segurança Nacional da Casa Branca afirmou que “é essencial que qualquer organização com um servidor vulnerável tome medidas imediatas para determinar se já foram visados”.
A Microsoft lançou atualizações de emergência imediatamente após descobrir as vulnerabilidades. No entanto, muitas empresas ainda utilizam versões mais antigas do software (de 2013 a 2019).
Esta falha de segurança é atroz. Antes dos patches serem lançados, não havia defesa – era e é uma vulnerabilidade zero day de execução remota de código de pré-autenticação. Os invasores podem simplesmente entrar, colocar os seus webshells e ir embora com os seus dados […] Se ainda não perdeu uma noite de sono, vai perder duas a partir de amanhã.
Escreve Rupert Goodwins, no site The Register.