Hackers chineses estavam usando o Exchange para espionar usuários, diz Microsoft
Por Felipe Demartini | Editado por Jones Oliveira | 04 de Março de 2021 às 09h55
A Microsoft recomendou a atualização urgente de servidores de e-mail que utilizem o Exchange, como forma de mitigar uma série de ataques que estão acontecendo, principalmente, contra usuários dos Estados Unidos. Segundo a empresa, quatro vulnerabilidades estão sendo usadas por um grupo chinês para invadir caixas de correio, ler mensagens e roubar segredos industriais de empresas e instituições americanas.
- Microsoft corrige falha que afetava Defender há 12 anos
- Ex-CEO da SolarWinds culpa estagiário por ataque contra sistemas da empresa
- Brasil sofreu mais de 8,4 bilhões de tentativas de ciberataques em 2020
Os golpes são citados como altamente sofisticados e seriam obra de um grupo conhecido apenas como Hafnium. Apesar de não ter dado mais detalhes sobre os criminosos, a Microsoft fala em uma operação que tem o apoio do governo da China, com o uso de vulnerabilidades zero-day focadas em servidores operados pelas próprias empresas, que nem sempre estão sujeitos ao mesmo guarda-chuva de segurança que grandes aplicações da nuvem, por exemplo.
De acordo com a Microsoft, a exploração começa a partir das quatro vulnerabilidades citadas, que permitem ao atacante obter acesso aos servidores do Exchange e se “disfarçarem” como um acesso legítimo. A partir disso, seria possível abrir uma porta de acesso remoto para que os dados trocados entre os usuários de e-mail efetivamente sejam lidos e interceptados, com poucos rastros na infraestrutura corporativa, dificultando a detecção.
As falhas atingem as versões 2013, 2016 e 2019 do Microsoft Exchange, mas não sua alternativa online. Além de publicar atualizações, que são críticas e devem ser aplicadas por todos os usuários da plataforma (ainda mais agora, que são públicas e podem ser usadas por outros criminosos), a companhia também divulgou um relatório sobre as vulnerabilidades, que também incluem indicadores de comprometimento e passos para descobrir se uma infraestrutura foi comprometida pelos ataques.
Por outro lado, a Microsoft deixou claro que a exploração de tais vulnerabilidades não está relacionada ao recente ataque contra os sistemas da SolarWinds, que expôs o código-fonte de diversas soluções da companhia de Redmond. De acordo com a empresa, o caso continua sendo acompanhado e, pelo menos por enquanto, sistemas e softwares fornecidos por ela não foram utilizados em ataques posteriores contra clientes ou parceiros.
Fonte: Microsoft