O que acabou de acontecer? Quatro explorações encontradas no software Microsoft Exchange Server levaram cerca de 30.000 organizações comerciais e governamentais dos Estados Unidos – incluindo departamentos de polícia, hospitais e organizações sem fins lucrativos – a terem seus e-mails hackeados. A Microsoft lançou um patch para consertar quatro exploits de dia zero no Exchange Server alguns dias atrás, mas isso não impediu um grupo de hackers de tirar vantagem da situação.
De acordo com a Microsoft, as vulnerabilidades no Exchange Server estão sendo visadas por um grupo de hackers chinês anteriormente desconhecido conhecido como “Hafnium”. Nos dias desde que a Microsoft lançou o patch para o Exchange, o grupo disse ter dobrado drasticamente seus esforços, visando servidores não corrigidos em todo o mundo e acessando as contas de cerca de 30.000 organizações nos Estados Unidos. Diz-se que isso inclui governos locais, bancos e unidades de crédito, bem como departamentos de polícia, hospitais e organizações sem fins lucrativos.
Krebs on Security explica: “Em cada incidente, os invasores deixaram para trás um ‘web shell’, uma ferramenta de hacking fácil de usar e protegida por senha que pode ser acessada pela Internet de qualquer navegador. O shell da web dá aos invasores acesso administrativo aos servidores de computador da vítima ”.
Embora os ataques tenham explodido nos últimos dias, o grupo tem aproveitado as vulnerabilidades desde o início de janeiro. Na verdade, os primeiros ataques visavam discretamente os usuários em 6 de janeiro de 2021 – um dia em que todos os olhos estavam voltados para o Capitólio dos Estados Unidos.
Reflexões sobre o hack do Hafnium Exchange: (1) afetará desproporcionalmente aqueles que têm menos recursos (SMBs, Edu, estados, habitantes locais), (2) as equipes de resposta a incidentes ESTÃO QUEIMADAS e este é um momento muito ruim, 3) poucas organizações devem estar executando servidores de troca atualmente. https://t.co/bc5yutThve
– Chris Krebs (@C_C_Krebs) 6 de março de 2021
A Microsoft explica que os servidores auto-hospedados que executam o Exchange Server 2013, 2016 ou 2019 estão em risco e devem baixar seu patch de segurança com urgência. Se sua organização usa o Exchange Online, isso não será afetado.
