0
0
A divulgação de quatro vulnerabilidades críticas de dia zero no Microsoft Exchange Server sacudiu a comunidade de segurança da informação na semana passada, e um rápido aumento na atividade de ataque só agravou as preocupações.
Ataques que exploram as falhas foram vistos pela primeira vez em janeiro. Inicialmente, eles eram limitados e direcionados, aparentemente para espionagem: os adversários visavam principalmente contas de e-mail específicas. A Microsoft atribuiu a atividade a um grupo que chama de Hafnium, que se acredita operar fora da China.
Então, durante o último fim de semana de fevereiro, os pesquisadores notaram um aumento significativo na execução remota de código. Os atacantes estavam gravando shells da Web no disco e iniciando operações para despejar credenciais, adicionar contas de usuário, roubar cópias de bancos de dados do Active Directory e mover lateralmente para outros sistemas. O aumento da atividade – curioso para um grupo de ataque chinês avançado – aumentou a linha do tempo dos patches.
A Microsoft implantou suas correções apenas alguns dias depois, e a atividade continuou a aumentar. A pesquisa Check Point relata centenas de tentativas de exploração contra organizações em todo o mundo, com o número de tentativas de exploração dobrando a cada duas a três horas nas 24 horas que terminam em 11 de março. A Turquia é o país mais atacado, seguido pelos EUA e Itália.
Os pesquisadores também descobriram que há muito mais de um grupo de ataque explorando essas falhas. Empresas de segurança, incluindo FireEye e Red Canary, estão rastreando a atividade de ataque em clusters, e pesquisadores com ESET relatam que pelo menos dez grupos APT já estão usando as vulnerabilidades. Alguns, dizem eles, começaram a explorar as falhas antes que os patches da Microsoft fossem lançados. De acordo com um relatório do Wall Street Journal, a Microsoft está investigando se um de seus parceiros vazou informações sobre as vulnerabilidades antes de serem reveladas publicamente.
Novas informações sobre atacantes procurando e explorando essas vulnerabilidades surgiram quase todos os dias desde que foram divulgadas. A Microsoft relatou mais recentemente que uma nova ameaça de ransomware está visando servidores Exchange que já foram comprometidos.
Aqui, investigamos as informações que os defensores precisam saber sobre como proteger suas organizações dessa ameaça em rápida evolução: por que eles devem se preocupar, os desafios com patches e como procurar sinais de compromisso.
Um alvo quente para defender
O Microsoft Exchange Server tem sido tradicionalmente um vetor de ataque atraente, dependendo do adversário e de seus objetivos, diz Joe Slowik, pesquisador de ameaças da DomainTools. É um componente essencial para qualquer organização que o use, a maioria das organizações não quer colocá-lo offline e há dificuldades em gerenciá-lo.
“De uma perspectiva não técnica, temos que olhar para o Exchange como sendo um tipo de serviço de alta disponibilidade e alta demanda”, diz ele.
Claro, o e-mail não se limita a comunicações entre funcionários. O e-mail também se liga a coisas como sistemas de pedidos, sistemas de relatórios e todos os tipos de outras funcionalidades. Qualquer coisa que interfira na disponibilidade desse serviço é um aspecto não trivial para a administração da maioria dos negócios.
“Estamos falando de um alvo interessante tanto pelo valor que tem em si como repositório de informações, incluindo informações confidenciais na forma de e-mails, quanto de um alvo que tem valor como meio para um fim, porque o Exchange poderá conversar com praticamente todas as máquinas da rede”, explica Slowik.
O servidor Exchange nem sempre é o objetivo final para atacantes. Um já na organização de destino pode ir direto para privilégios de administrador de domínio ou similares. Embora o Exchange possa ser uma rota para fazer isso, a maioria dos atacantes também pode tentar mergulhar no controlador de domínio, diz Slowik.
Mas essas falhas do Exchange facilitam para um adversário externo obter amplo acesso em uma organização-alvo, aumentando seu apelo aos atacantes — e a urgência de as organizações agirem. Embora o servidor Exchange não seja tão sensível quanto o controlador de domínio, “não está muito longe”, ele continua. Obter privilégios de sistema no Exchange Server pode levar rapidamente ao administrador do domínio.
Por Que Essas Vulnerabilidades São Tão Perigosas
Em ataques em que o servidor Exchange é acessível externamente, como esses, torna-se um caminho interessante para possivelmente acessar remotamente uma caixa de correio, o que pode permitir que um invasor realize comprometimento de e-mail comercial ou phishing de credenciais comprometendo uma conta de administrador.
“Há muitos cenários aqui, mas conseguir algo que permita a execução remota de código com uma gravação de arquivos é … o beijo do chef”, diz Slowik sobre essas vulnerabilidades.
Nos ataques observados pela Microsoft, os atacantes exploraram essas falhas para obter acesso inicial aos servidores Exchange locais, o que permitiu o acesso a contas de e-mail e auxiliou na instalação de malware adicional que poderia facilitar o acesso à rede a longo prazo. Muitos usaram seu acesso remoto para roubar grandes quantidades de dados, especificamente e-mails, de seus alvos.
“Esses ataques são graves devido ao fato de que todas as organizações simplesmente precisam ter e-mail, e o Microsoft Exchange é tão amplamente utilizado”, diz John Hammond, pesquisador sênior de segurança da Huntress. “Esses servidores normalmente serão acessíveis ao público na Internet aberta e podem ser explorados remotamente.”
Desde que a Microsoft lançou seu patch em 2 de março, a quantidade de atividade de atacantes procurando e explorando essas vulnerabilidades disparou. Pesquisadores com a ESET rastreando a ameaça observaram mais de 5.000 servidores exclusivos em mais de 115 países onde os shells da Web foram explorados, e relatam que pelo menos dez grupos APT estão usando as falhas para direcionar servidores.
Aplicar Patches Relevantes
As organizações são instadas a aplicar as atualizações de segurança relevantes o mais rápido possível. A Microsoft diz que as vulnerabilidades afetam as versões 2013, 2016 e 2019 do Exchange Server e também está atualizando o Exchange Server 2010.
“O primeiro e mais óbvio conselho para qualquer organização seria garantir que eles estejam executando a versão mais atualizada do Microsoft Exchange Server”, diz Katie Nickels, diretora sênior de ameaças da Red Canary. “Especificamente, eles vão querer garantir que tenham instalado patches para CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065.”
A Microsoft publicou um post no blog sobre essas atualizações de segurança com um script para obter um inventário rápido dos níveis de patch dos servidores Exchange no local e responder a perguntas básicas sobre a instalação de patches. Os patches só podem ser instalados em servidores que executam versões atualizadas; se uma empresa estiver executando atualização cumulativa ou de rollup do Exchange Server mais antiga, é aconselhável primeiro instalar uma atualização cumulativa antes de instalar atualizações de segurança.
Para aqueles que executam versões mais antigas do Exchange, a Microsoft lançou uma série de atualizações de segurança do servidor Exchange que podem ser aplicadas a algumas atualizações cumulativas mais antigas e não suportadas. Isso se destina a proteger versões mais antigas do Exchange Server à medida que os ataques aumentam.
Como a exploração dessas vulnerabilidades requer acesso a HTTPs pela Internet, a recomendação é primeiro instalar atualizações em servidores Exchange expostos on-line, como aqueles que publicam o Outlook Web Access (OWA) e depois atualizar o resto do seu ambiente.
Como o Exchange Server Apresenta Problemas de Patch
É fácil dizer às organizações para corrigir, mas para muitos, é um processo complicado — especialmente se elas já estiverem atrasadas nas atualizações do Exchange. Slowik diz que ouviu falar de pessoas tendo problemas para aplicar os patches e tendo problemas para escrever sua instância do Exchange depois de aplicá-los.
“Há dificuldades associadas a ele, e o Exchange também é um tipo bastante ganancioso de serviço”, acrescenta ele. “Tentar executar o Exchange com um produto EDR e outros tipos de monitoramento e visibilidade tende a ficar muito caro e intensivo em recursos. Então você adiciona tentando depurar e aplicar algum tipo de patch e depois reinicia o serviço enquanto minimiza o impacto … isso é uma coisa difícil de fazer.”
Isso não torna a correção impossível, é claro, mas é por isso que grandes organizações geralmente têm administradores dedicados do Exchange. Pequenas empresas sem esses recursos terão um momento ainda mais difícil, e essas façanhas estão afetando uma variedade de grandes e pequenas organizações.
Para aqueles que não conseguem corrigir seus sistemas imediatamente, a Microsoft publicou controles de mitigação provisórios para limitar a exploração de vulnerabilidades: criar regras de reescrita do Serviço de Informações da Internet (IIS), desativar serviços de Mensagens Unificadas e desativar vários pools de aplicativos do IIS. Essas medidas provavelmente afetarão a disponibilidade de serviços do Exchange interna e externamente, dependendo de quais recursos a organização usa, apontam os pesquisadores da Canário Vermelho, e os administradores não devem considerá-las como soluções permanentes.
“Quanto mais tempo um servidor não conectado à Internet, maior o risco de que ele seja comprometido”, diz Nickels.
Embora crítico, a aplicação de patches é uma das muitas medidas que as organizações devem tomar agora.
O Dano Já Pode Estar Feito
A instalação de patches é necessária para proteger contra ataques, mas não pode dizer aos administradores se eles já foram comprometidos — muito menos abordar um ataque ativo.
Se um servidor Exchange foi deixado sem correção e exposto à Internet, a empresa deve assumir compromisso e verificar se há atividade de ataque. Esses ataques começaram no início de janeiro, dando aos atacantes cerca de dois meses de tempo de espera antes do lançamento dos patches — e antes que a maioria das pessoas soubesse que isso era um problema.
“Se você era um alvo de particular interesse, o adversário já tem bastante vantagem”, diz Slowik. “Isso significa não apenas procurar o que aconteceu nos últimos dias ou na última semana, mas potencialmente olhar para trás no que aconteceu nos últimos meses.”
Depois de identificar todas as instâncias de Microsoft Exchange Servers no local em um ambiente, o FBI e a Cybersecurity and Infrastructure Security Agency (CISA) aconselham as organizações com a experiência em triar forense artefatos usando ferramentas de coleta para coletar memória do sistema, registros da Web do sistema, registros de eventos do Windows e todas as colmeias de registro. Eles devem então examinar esses artefatos quanto a COIs ou comportamento anômalo, como despejo de credenciais.
Os pesquisadores da Palo Alto Networks recomendam verificar processos suspeitos e comportamento do sistema, especialmente no contexto de processos de aplicativos IIS e Exchange, como PowerShell, shells de comando e outros programas executados no espaço de endereço dos aplicativos.
A Microsoft fornece indicadores de comprometimento, orientação de detecção e consultas avançadas de busca para ajudar a investigar essa atividade usando logs do Exchange Server, Azure Sentinel, Microsoft Defender for Endpoint e Microsoft 365 Defender. A Volexity, que detectou esses ataques no início, também publicou informações para ajudar os defensores a detectar atividades potencialmente maliciosas.
Buscando Sinais de Comprometimento
A maioria dos ataques que os pesquisadores observaram envolveu shells da Web lançados em sistemas de arquivos, relata Red Canary. Alguns atacantes usaram tarefas agendadas para persistência e outras atividades de acompanhamento. Recomenda-se o monitoramento e a defesa do shell da Web — tanto para combater essa ameaça específica quanto para ameaças futuras.
Os shells da Web são um problema de segurança difícil de resolver porque abusam da natureza inerente dos servidores para ouvir e aceitar tráfego remoto via HTTP ou HTTPS. Para serviços que precisam ser acessíveis, não é uma opção simplesmente bloquear esses serviços e sua conectividade, escreve Slowik em um post no blog.
“Os shells da Web são uma dor de cabeça para tentar detectar e fazer root, a menos que você tenha controle completo sobre um determinado servidor Web e esteja fazendo coisas como rastrear gravações de arquivos em vários diretórios acessíveis”, explica ele. A maneira como essas funções de vulnerabilidade permitem gravações arbitrárias de arquivos em qualquer lugar do sistema, acrescenta Slowik.
As organizações poderiam se beneficiar de uma maior compreensão e visibilidade do que é o comportamento normal para serviços expostos externamente. Saber disso facilitará o discernimento de comportamentos incomuns, como a comunicação de rede para um novo recurso em um serviço voltado para o exterior.
“O Exchange é um servidor e, como servidor, receberá comunicações de uma variedade de clientes e responderá a isso”, explica ele. “Mas você normalmente não deve ver … o servidor autenticando ou iniciando o tráfego para clientes.” Ver o tráfego de rede passar de um servidor de e-mail para um controlador de desktop ou domínio é estranho e merece um exame mais aprofundado, diz ele.
Qualquer atividade desconhecida nos logs do servidor Web conectando-se a esses shells Web implantados certamente indica problemas, diz Hammond, da Huntress, ao detectar a ameaça, e uma mudança nas permissões do usuário ou nos usuários administradores também pode levantar uma bandeira vermelha para os defensores.
“O meio mais eficaz de rastrear essa atividade é validando externamente a vulnerabilidade, procurando esses indicadores de comprometimento e monitorando a atividade da rede em seus servidores”, acrescenta ele.
Reduzir a Superfície de Ataque
Como a maioria das instâncias de atividade pós-exploração envolve a implantação do shell da Web, uma estratégia de mitigação de pré-remendo pode ser eliminar o acesso direto ao Exchange da Internet por HTTPS, o que é necessário para a exploração remota.
Embora isso limite a conveniência de acessar serviços como o OWA, as organizações poderiam torná-los acessíveis através de uma VPN ou outro portal para reduzir a superfície de ataque. No geral, colocar a OWA e outros serviços voltados externamente atrás de uma VPN pode ajudar a reduzir a superfície de ataque, tornando mais difícil para um adversário fazer coisas como tentar adivinhar ou reutilizar credenciais.
“Embora eu advertisse que isso é redução da superfície de ataque, não eliminação”, observa Slowik. “Porque se um adversário sabe que está a um phish de entrar em um ambiente e depois colocar o Exchange com privilégios de sistema, esse é um caminho muito fácil de optar por um compromisso total de rede se você estiver executando o Exchange no local.”
Prepare-se para Resposta e Remediação de Incidentes
Dada a expansão acelerada desses ataques e a quantidade de tempo que os atacantes tiveram para agir na pré-revelação, espera-se que muitas organizações precisem mudar para o modo de resposta e correção de incidentes.
“Se você encontrar alguma atividade anômala ou suspeita, você deve determinar sua exposição, pois isso permitirá que você decida o que fazer a seguir”, diz Mat Gangwer, diretor sênior da Sophos Managed Threat Response. “Você precisa entender quanto tempo ou impacto essa atividade pode ter sido. Qual é a diferença entre a aparência do shell da Web ou outros artefatos em sua rede e o momento da correção ou descoberta?”
Algumas organizações podem lançar sua própria investigação interna; outras podem buscar apoio de uma equipe externa de resposta a incidentes.
Funcionários da CISA aconselham considerar o suporte de terceiros depois de coletar artefatos, registros e dados relevantes para análise adicional e implementar etapas de mitigação que evitem informar ao adversário que sua presença foi descoberta.
Uma organização terceirizada pode ajudar a fornecer experiência e suporte técnico durante todo o processo de resposta, garantir que o invasor seja removido da rede e evitar quaisquer problemas residuais que possam levar a um comprometimento de acompanhamento assim que o incidente for fechado, dizem as autoridades. Existem vários erros comuns na resposta a incidentes: falha em preservar dados críticos de log, mitigação dos sistemas afetados antes que os respondentes possam recuperar dados e apenas corrigir os sintomas — não a causa raiz.
Como saber quando é hora de resposta a incidentes? Nesse caso, as organizações não devem esperar.
“Dadas as circunstâncias atuais, este deve ser um item de preocupação imediata”, diz Slowik. “Procure por ele agora, e se você encontrar algo, comece a mergulhar mais fundo.” Avançar desses ataques e tentar minimizar o dano e o tempo de permanência do adversário será fundamental. Quanto mais cedo isso for detectado, mais fácil será responder.
FONTE: DARK READING