0
0
Os cibercriminosos começaram a procurar na web servidores de intercâmbio vulneráveis em cinco minutos após a assessoria de segurança da Microsoft se divulgar, dizem os pesquisadores.
De acordo com uma revisão dos dados de ameaças de empresas empresariais coletadas entre janeiro e março deste ano, compiladas no relatório de ameaças Cortex Xpanse Attack Surface de 2021 da Palo Alto Networks e publicada na quarta-feira, os atores de ameaças foram rápidos para procurar servidores maduros para explorar.
Quando vulnerabilidades críticas em software amplamente adotado são tornadas públicas, isso pode desencadear uma corrida entre atacantes e administradores de TI: um para encontrar alvos adequados – especialmente quando o código de prova de conceito (PoC) está disponível ou um bug é trivial de explorar — e a equipe de TI para realizar avaliações de risco e implementar patches necessários.
O relatório diz que, em particular, vulnerabilidades de zero-day podem solicitar varreduras de invasores em até 15 minutos após a divulgação pública.
Os pesquisadores de Palo Alto dizem que os atacantes “trabalharam mais rápido” quando se tratava do Microsoft Exchange, no entanto, e as varreduras foram detectadas em não mais do que cinco minutos.
Em 2 de março, a Microsoft divulgou a existência de quatro vulnerabilidades de zero-day no Exchange Server. Os quatro problemas de segurança, que impactaram coletivamente no Exchange Server 2013, 2016 e 2019, foram explorados pelo grupo chinês de ameaças persistentes avançadas (APT) Hafnium — e outros APTs, incluindo LuckyMouse, Tick e Winnti Group, rapidamente seguiram o exemplo.
A divulgação da segurança desencadeou uma onda de ataques, e três semanas depois, eles ainda estavam em andamento. Na época,os pesquisadores da F-Secure disseram que servidores vulneráveis estavam “sendo hackeados mais rápido do que podemos contar”.
É possível que a disponibilidade geral de serviços de nuvem baratos tenha ajudado não apenas os APTs, mas também grupos de cibercriminosos menores e indivíduos a tirar proveito de novas vulnerabilidades à medida que aparecem.
“A computação tornou-se tão barata que um invasor que precisa gastar apenas cerca de US$ 10 para alugar o poder de computação em nuvem para fazer uma varredura imprecisa de toda a internet para sistemas vulneráveis”, diz o relatório. “Sabemos pela onda de ataques bem-sucedidos que os adversários estão regularmente vencendo corridas para corrigir novas vulnerabilidades.”
A pesquisa também destaca o Remote Desktop Protocol (RDP) como a causa mais comum de fraqueza de segurança entre as redes corporativas, representando 32% dos problemas gerais de segurança, uma área especialmente problemática, já que muitas empresas fizeram uma rápida mudança para nuvem ao longo do último ano, a fim de permitir que seus funcionários trabalhassem remotamente.
“Isso é preocupante porque o RDP pode fornecer acesso direto ao administrador aos servidores, tornando-o um dos gateways mais comuns para ataques de ransomware”, observa o relatório. “Eles representam frutos baixos para os atacantes, mas há razão para otimismo: a maioria das vulnerabilidades que descobrimos pode ser facilmente corrigida.”
FONTE: ZDNET