Microsoft Exchange tem nova falha e bandidos já estão roubando dados
Por Felipe Demartini | Editado por Claudio Yuge | 30 de Setembro de 2022 às 19h20
Duas vulnerabilidades zero-day no sistema Microsoft Exchange, ou seja, desconhecidas até agora, já estão sendo usadas em ataques contra sistemas corporativos. As brechas são usadas em combinação, a partir de credenciais roubadas ou obtidas em ataques de engenharia social, e visam o roubo de dados dos servidores atingidos.
- 8 em cada 10 empresas desligam a segurança para não afetar a produção
- 5 dicas para manter os e-mails corporativos mais seguros
As falhas atingem as versões 2013, 2016 e 2019 do Microsoft Exchange Server; entretanto, quem utiliza as alternativas online destes sistemas não estão em risco, já que mitigações foram aplicadas pela companhia. Já as brechas são rastreadas como CVE-2022-41040, permitindo o acesso a recursos que não deveriam estar disponíveis, e CVE-2022-41082, que libera a execução de código remoto a partir do PowerShell.
Segundo a companhia, a primeira vulnerabilidade pode ser explorada apenas por usuários autenticados, seja a partir de acessos legítimos, credenciais roubadas ou outras vias de ataque. Por meio dela, os bandidos conseguem acesso aos recursos necessários para executar códigos maliciosos, baixar malwares e realizar o roubo de informações.
De acordo com a empresa de segurança GTSC, responsável pela descoberta das falhas zero-day notificadas à Microsoft no começo deste mês, existem indícios de associação dos ataques a um grupo chinês. O código usado para desvio dos arquivos, por exemplo, é escrito no idioma, enquanto ferramentas comuns no ecossistema cibercriminoso de lá também são utilizadas nas operações de estabelecimento de persistência e leitura dos dados disponíveis.
Enquanto uma atualização não vem, a recomendação da Microsoft é pelo uso de mitigações pelos usuários. Os detalhes técnicos foram publicados pela companhia, mas a ação adequada consiste na criação de uma regra que bloqueie padrões relacionados ao PowerShell e também portas HTTP e HTTPS usada pelos criminosos para acesso remoto aos servidores.