Microsoft Exchange mitiga falha, mas bandidos continuam atacando brechas
Por Felipe Demartini | Editado por Claudio Yuge | 04 de Outubro de 2022 às 16h20
Os ataques contra servidores do Microsoft Exchange, a partir de duas falhas zero-day reveladas na última semana, continuam acontecendo. Para piorar as coisas, especialistas em segurança apontam que as mitigações indicadas pela empresa podem ser insuficientes para conter uma onda de golpes que parece cada vez maior, enquanto uma atualização que corrija o problema de maneira definitiva não chega.
- Microsoft Exchange tem nova falha e bandidos já estão roubando dados
- 5 dicas para manter os e-mails corporativos mais seguros
A ideia, de acordo com os pesquisadores, é que o guia de proteção liberado pela Microsoft trata, especificamente, dos ataques limitados aproveitando a brecha, conforme relatados pela própria companhia. Novos vetores de comprometimento poderiam ultrapassar as configurações apontadas, enquanto nem mesmo a ideia de que servidores que usam o Exchange Online estariam seguros seria, de todo, real.
Neste último caso, alertas de segurança das empresas Analygence e do pesquisador independente Jang, por exemplo, apontam que isso só é verdade para uma arquitetura 100% conectada. Em sistemas híbridos, ainda há a possibilidade de contaminação, enquanto nas versões locais, a ideia é que os administradores apliquem regras mais abrangentes de bloqueio de padrões de ataque.
Além disso, o especialista Kevin Beaumont apontou que mais de 1,2 mil organizações de todo o mundo possuem ambientes assim conectados à web pública, podendo se tornar alvos atrativos para criminosos. As entidades vão desde setores governamentais até empresas financeiras ou do setor de educação, que costumam estar no topo da lista das mais visadas para comprometimento. Em seu relatório, ele até batizou a brecha como ProxyNotShell.
Enquanto isso, a brecha que é avaliada pela Microsoft com uma severidade de 8,8, de um total de 10, ainda não tem previsão de atualização. Uma vez explorada, a combinação das duas aberturas zero-day podem levar à execução de códigos maliciosos nos servidores, resultando principalmente no roubo de dados e instalação de malwares, sempre os principais perigos quando se fala de infraestruturas corporativas.
Golpe falso envolvendo o Microsoft Exchange é vendido por bandidos no GitHub
A aceleração do ecossistema cibercriminoso não se refere, apenas, à falha aberta nos servidores do Microsoft Exchange. De olho na movimentação, outros malfeitores também publicaram falsos kits de exploração para a brecha, com alguns deles, inclusive, se passando por especialistas em segurança, incluindo o próprio Beaumont.
"Como mencionado, a CVE-2022-41082 recebeu uma pontuação tão alta por ser de execução remota de códigos. Isso significa que pode passar despercebida pelo usuário e, potencialmente, também pelo time de segurança. Uma ferramenta tão poderosa não pode vir totalmente ao público, só há uma cópia disponível para ser usada por um pesquisador REAL. Isso deve atrair atenção à importância da cibersegurança, pode ser tentador ignorar ou transferir responsabilidade para o time de TI. Mas as duas opções podem te tornar suscetível a riscos reais e danosos. NÃO revenda ou vaze esta prova de conceito ou você estará sob risco de infringir a lei."
Os repositórios, disponíveis no GitHub, reúnem arquivos e atualizações sobre as duas aberturas, bem como os dados para contato caso haja interesse na compra de ferramentas de exploração delas. Uma tática de urgência é usada, como nos golpes de phishing contra usuários finais, como afirmações de que os kits têm venda limitada a apenas um utilizador, e valores abaixo do que costuma ser praticado na venda de aberturas desse tipo na dark web.
No golpe, o software para exploração das aberturas no Microsoft Exchange é vendido pelo equivalente a US$ 420 em Bitcoins, ou cerca de R$ 2.160 em uma conversão direta. Entretanto, a empresa de bug bounty Zerodium oferece recompensas a partir de US$ 2.500, ou aproximadamente R$ 12.840, para especialistas que revelarem a ela aberturas zero-day relacionadas aos novos bugs no Microsoft Exchange.
Além de criminosos, a fraude também é voltada a especialistas em segurança, administradores de sistema preocupados com as aberturas ou basicamente qualquer um que queira ter um contato mais próximo com os detalhes técnicos das duas aberturas. As informações sobre elas, entretanto, são públicas e foram divulgadas na última semana pelos pesquisadores responsáveis pela descoberta, enquanto o envio de valores aos golpistas, claro, não resulta no recebimento de nada além daquilo que já é conhecido — se é que algo, efetivamente, é enviado aos compradores.