Exchange Server: uma bomba-relógio

Quatro vulnerabilidades zero day no Microsoft Exchange Server foram ativamente exploradas pelo grupo Hafnium – com fortes ligações ao estado chinês – e, desde que forma divulgadas as vulnerabilidades, outros grupos têm utilizado estas vulnerabilidades para os seus próprios proveitos.

Ainda que não esteja ligado ao ataque Solarwinds – que terá impactado 18 mil organizações em todo o mundo –, acredita-se que estas vulnerabilidades podem ter um impacto similar ou ainda pior nas organizações de todo o mundo por causa da demora em corrigir as vulnerabilidades.

Brian Krebs alertou no seu blog para uma bomba-relógio (que serviu de inspiração para o título deste artigo), uma vez que cada um dos servidores hackeados ‘ganharam’ uma backdoor para que os atacantes possam ter controlo remoto e total, capacidade para ler todos os emails e acesso fácil aos dispositivos das vítimas.

Segundo dados da Check Point, uma semana depois de ser divulgado o ataque, as tentativas de exploração de vulnerabilidades duplicaram a cada duas a três horas. Entre os setores mais visados estavam a administração pública e setor militar (com 17% das tentativas de ataque) seguindo da indústria de manufatura (14%) e setor bancário (11%).

Problema mesmo depois de corrigida a vulnerabilidade

O problema vai para além da vulnerabilidade em si. Mesmo que uma organização tenha corrigido a vulnerabilidade em tempo útil aceitável, existe o problema de ter sido atacada sem ter dado conta. É aí que a tal ‘bomba-relógio’ fica um pouco mais perto de explodir.

O primeiro objetivo dos atacantes é criar uma maneira de voltar a entrar – os famosos backdoors. Os hackers mais astutos sabem que é uma questão de tempo – se calhar horas – até que a organização que pretendem atacar corrija uma vulnerabilidade tão crítica. Todos os minutos contam.

Os especialistas de segurança estão a alertar e a ajudar as vítimas antes de os hackers lançarem os seus ataques, aquilo que antecipam como a segunda fase deste ataque. Esta será a altura em que vão voltar aos servidores hackeados e colocar ransomware ou outras ferramentas de hacking para navegar ainda mais nas redes das suas vítimas.

Alguns especialistas estão a encontrar vítimas que parecem ter mais do que um tipo de backdoor instalado, com algumas a terem três web shells instalados; um outro tinha oito backdoors diferentes. Assim, mesmo que os servidores tenham recebido o patch, o número de vítimas deverá aumentar nos próximos tempos.

Há, no entanto, uma mensagem clara para todos os que foram de alguma maneira afetados por estas vulnerabilidades, mesmo os que já instalaram a patch de segurança: façam backup de todos os dados armazenados nos servidores. Imediatamente. E mantenham esses backups desconectados de tudo.

Anatomia

No total são quatro vulnerabilidades que, em conjunto, são conhecidas por ProxyLogon. Estas vulnerabilidades impactam o Exchange Server 2013, 2016 e 2019, com o Exchange Online a não ser afetado.

O CVE-2021-26855 é uma vulnerabilidade Server Side Request Forgery (SSRF) que leva a solicitações HTTP criadas a serem enviadas por atacantes não autenticados. Os servidores têm de aceitar conexões não confiáveis na porta 443 para que o bug seja acionado.

Já o CVE-2021-26857 é uma vulnerabilidade de deserialization insegura no Exchange Unified Messaging Service que permite a implementação de código arbitrário no SYSTEM. Esta vulnerabilidade, no entanto, precisa de ser combinada com outra ou só podem ser tilizadas com credenciais roubadas para ser utilizada.

Por fim, as vulnerabilidades CVE-2021-26858 e CVE-2021-27065 são vulnerabilidades de gravação de arquivos arbitrários pós-autenticação para gravar nas paths.

Em resumo, a Microsoft explica que os atacantes podem assegurar acesso aos servidores Exchange vulneráveis através dos bugs ou do roubo de credenciais para, depois, criar uma web shell para sequestrar o sistema e executar comandos remotamente.

Em declarações à IT Insight, a Microsoft indicou que “continuamos comprometidos em apoiar os nossos clientes face a estes ataques, em inovar a nossa abordagem de segurança e em formar parcerias estreitas com governos e a indústria de segurança para ajudar a manter os nossos clientes e comunidades seguras”.

Ciberespionagem

Numa primeira fase, ainda antes de serem conhecidas do grande público, estas vulnerabilidades terão sido utilizadas por um grupo de ciberespiões patrocinados pela China, o Hafnium.

No seu blog, a Microsoft indicou que o Hafnium tinha como principais alvos “entidades nos Estados Unidos em vários setores de indústria” e que o grupo tinha “comprometido anteriormente vítimas ao explorar vulnerabilidade de servidores internet-facing. Depois de ganharem acesso à rede da vítima, o Hafnium tipicamente exfiltra dados para sites de partilha de ficheiros como o MEGA”. O grupo utilizou as quatro vulnerabilidades para ganhar acesso e, depois, instala web shells nos servidores comprometidos.

Em comunicado, Mat Gangwer, Senior Director, Managed Threat Response da Sophos, aconselha as empresas a reverem os logs no servidor “em busca de indícios de que um atacante possa ter invadido o seu servidor Exchange”. No caso de encontrar uma atividade suspeita, “deve determinar a sua exposição, uma vez que assim poderá decidir o que fazer em seguida. Será necessário saber a duração e o impacto que a atividade possa ter tido”.

Linha do tempo

• 1 de outubro de 2020 – Nova vulnerabilidade descoberta pela Devcore
• 5 de janeiro de 2021 – Depois de vários testes, a Devcore alerta a Microsoft sobre as vulnerabilidades que descobriu
• 6 de janeiro de 2021 – Volexity descobre ataques que utilizam o que, na altura, eram vulnerabilidade desconhecidas no Exchange
• 8 de janeiro de 2021 – Devcore reporta à Microsoft que conseguiu reprodutiz os problemas e confirmar as suas suspeitas
• 25 de janeiro de 2021 – Dubex alerta a Microsoft para ataques estão a tirar partido de uma falha do Exchange
• 27 de janeiro de 2021 – Trend Micro publica um post no seu blog sobre web shells a serem colocados nos servidores através de falhas no Exchange
• 2 de fevereiro de 2021 – Volexity alerta a Microsoft para ataques ativos que utilizam vulnerabilidades desconhecidas do Exchange
• 8 de fevereiro de 2021 – Microsoft informa a Dubex que o tema “escalou” internamente
• 18 de fevereiro de 2021 – Microsoft confirma à Devcore que no dia 9 de março (uma “patch Tuesday”) iria publicar as atualizações de segurança para as falhas
• 26 de fevereiro de 2021 – Várias empresas de cibersegurança começam a assistir a explorações cada vez maiores da falha com os atacantes a criarem backdoors para servidores vulneráveis
• 2 de março de 2021 – Uma semana antes do planeado, a Microsoft lança atualizações para corrigir quatro falhas zero day no Exchange
• 3 de março de 2021 – Com dezenas de milhares de servidores Exchange vulneráveis, há um número enorme de servidores a serem atacados a cada hora
• 4 de março de 2021 – O conselheiro de segurança nacional da Casa Branca alerta para a importância de instalar o patch para estas falhas
• 5 de março de 2021 – Porta-voz da Casa Branca expressa publicamente preocupações para a dimensão do ataque
• 8 de março de 2021 – Microsoft lança uma série adicional de atualizações de segurança que podem ser aplicadas a algumas atualizações cumulativas mais antigas (e sem suporte)
• 15 de março de 2021 – A Microsoft lança a ferramenta Exchange On-Premises Mitigation para ajudar os clientes que não têm segurança dedicada ou equipas de IT a aplicar patches e atenuações de segurança com um clique e trabalha com os clientes através das equipas de suporte ao cliente, hosters terceirizados e rede de parceiros para ajustar o feedback e criar uma solução simples, fácil de usar e automatizada para atender às necessidades dos clientes usando servidores Exchange atuais e desatualizados
• 18 de março de 2021 – Anunciado que o Microsoft Defender Antivirus e o System Center Endpoint Protection reduzirão automaticamente o CVE-2021-26855 em qualquer servidor Exchange vulnerável no qual este seja implementado
• 22 de março de 2021 – Microsoft informa que 92% dos servidores em todo o mundo são mitigados