Na semana passada, a Microsoft anunciou que a versão para instalação local do seu software servidor de email e calendário Exchange tinha várias vulnerabilidades de segurança não documentadas. Segundo a empresa, essas vulnerabilidades estavam a ser utilizadas activamente por hackers para aceder a redes governamentais e empresariais de todo o mundo, principalmente para roubar grandes quantidades de mensagens de email.
De mal a pior
Até agora, nas descrições deste ataque, foram utilizados termos como “enorme“, “astronómico” e “invulgarmente agressivo“. Como resultado destas vulnerabilidades no Microsoft Exchange, milhares de entidades tiveram backdoors instaladas nos seus sistemas. Fontes anónimas, ligadas à investigação que está a ser realizada pela Microsoft, dizem que, só nos Estados Unidos, cerca de 30000 organizações foram atacadas através da utilização destas vulnerabilidades (o que vai muito além do ataque SolarWinds, que, de acordo com uma comunicação da Casa Branca, causou danos a 18000 entidades americanas). Mas os danos não estão limitados aos EUA, segundo a Bloomberg, estima-se que, pelo menos, 60000 entidades tenham sido afectadas em todo o mundo.
Ainda mais problemático é que, segundo especialistas em segurança informática, desde que foi anunciada a existência destas vulnerabilidades, os ataques ao Microsoft Exchange têm acelerado. Segundo Anton Ivanov, um dos especialistas de segurança da Kaspersky: “Desde o início que antecipámos que as tentativas de explorar estas vulnerabilidades iriam crescer rapidamente, e é exactamente a isso que estamos a assistir neste momento. Até agora, detectámos ataques deste tipo em mais de 100 países. Apesar de os ataques iniciais terem sido muito dirigidos, agora há muita gente a tentar a sorte e a atacar qualquer organização que tenha um servidor vulnerável. Estes ataques trazem um risco muito elevado de roubo de dados e mesmo de infecções por ransomware, por isso as organizações têm de tomar medidas para se protegerem o mais depressa possível.”
Como se processam os ataques?
O Microsoft Exchange Server está disponível em duas versões, uma para instalação local e uma versão cloud no formato software-as-a-service, o que causou alguma confusão acerca de que sistemas estão em risco neste ataque. A versão cloud, chamada Exchange Online, não tem estas vulnerabilidades. Apenas a versão para instalação local é que está a ser atacada. Não há indícios de que outros produtos de email da Microsoft sejam vulneráveis. Segundo a CISA (Cybersecurity & Infrastructure Security Agency), tanto quanto se sabe, estas vulnerabilidades não afectam o Microsoft 365 ou o Microsoft Azure Cloud.
São conhecidas quatro vulnerabilidades na versão de instalação local do Microsoft Exchange, que estão a ser exploradas activamente (mais informação aqui, aqui, aqui e aqui). Existem ainda outras três vulnerabilidades, mas as autoridades não encontraram indícios de que estejam a ser exploradas ainda. Estão disponíveis actualizações no site da Microsoft que servem para as minimizar, mas que têm tido alguns problemas com a sua instalação.
Até agora, a Microsoft tem culpado uma equipa de hackers chamada HAFNIUM pelas intrusões no Microsoft Exchange. Pensa-se que o HAFNIUM, é um grupo de hackers patrocinado por um governo que tem como modo de operação a exploração de vulnerabilidades de segurança para instalar scripts que podem funcionar como backdoors nos sistemas atacados. Estes scripts permitem aos hackers acederem remotamente aos servidores para roubarem grandes quantidades de mensagens de email, incluindo o conteúdo completo de caixas de correio. O objectivo final do HAFNIUM é, aparentemente, recolher informações. Acredita-se que este grupo está baseado na China, no entanto, o governo chinês negou qualquer responsabilidade nestes ataques.
Contudo, vários especialistas em segurança informática estão convencidos que há mais hackers envolvidos na exploração destas vulnerabilidades. A empresa de segurança Red Canary, anunciou no fim-de-semana passado que detectou vários focos de ataques a servidores Exchange que não estão ligados ao HAFNIUM.
Quem está a ser atacado?
Devido à ubiquidade do Microsoft Exchange, muitos tipos de entidades estão em perigo. Algumas grandes organizações, como a Autoridade Bancária Europeia, já anunciaram que tinham sofrido ataques. Ainda não há notícia de que hajam organizações governamentais americanas atacadas, apesar de várias (como é o caso do Pentágono) estarem a fazer auditorias de segurança aos seus sistemas informáticos.
Os especialistas acreditam que são as pequenas e médias empresas que estão mais vulneráveis.
O que se pode fazer?
Como foi mencionado anteriormente, a Microsoft disponibilizou actualizações para o Exchange de forma a minimizar estas vulnerabilidades, mas que também têm causado alguns problemas. Na Quinta-Feira, um porta-voz da Microsoft disse que, em certos casos, as correcções pareciam funcionar, mas que não resolviam a vulnerabilidade. Pode ler uma explicação completa no site da Microsoft.
As organizações que usam o Exchange localmente foram informadas que, não só devem instalar as actualizações, como também investigar a possibilidade de já terem sido atacadas. A Microsoft já disponibilizou recursos para ajudar nessa tarefa. Foi lançada uma actualização à ferramenta de pesquisa e remoção de malware Safety Scanner (MSERT), que ajuda a detectar se foram instalados scripts nos servidores Exchange.