Em poucas palavras: Algumas novas vulnerabilidades de segurança estão ameaçando mais de 200.000 servidores Exchange em todo o mundo. Os culpados, provavelmente baseados na China, estão tentando espalhar um backdoor criptografado controlado remotamente.
O Microsoft Exchange está novamente enfrentando um risco de segurança envolvendo centenas de milhares de servidores em todo o mundo. Atores mal-intencionados desconhecidos estão explorando duas novas vulnerabilidades com a intenção de instalar um backdoor criptografado nunca antes visto na natureza. Os hackers são suspeitos de serem baseados na China.
As novas falhas de dia zero foram as primeiras descoberto pela empresa de segurança vietnamita GTSC quando os pesquisadores detectaram webshells maliciosos nas redes dos clientes relacionados a uma vulnerabilidade no software Exchange. No início, o exploit parecia semelhante ao infame ProxyShell zero-day de 2021 (CVE-2021-34473), mas os pesquisadores descobriram mais tarde que a nova falha ainda era desconhecida.
Microsoft depois confirmado a análise GTSC destacando duas novas falhas na popular plataforma de e-mail da empresa: CVE-2022-41040, uma vulnerabilidade de falsificação do lado do servidor, e CVE-2022-41082, que permite a execução remota de código por meio do PowerShell. A Microsoft registrou “atividade limitada” relacionada a ataques direcionados que exploram as duas falhas de dia zero. Os hackers estão explorando o CVE-2022-41040 para acionar remotamente o CVE-2022-41082, embora Redmond garanta que uma invasão bem-sucedida precisa de credenciais válidas para pelo menos um usuário de e-mail no servidor afetado.
A Ars Technica observa que mais de 200.000 servidores Exchange podem ser vulnerável aos novos ataques, além de mais mil em configurações híbridas. As ameaças são para versões locais do servidor Exchange, enquanto os servidores hospedados na plataforma de nuvem da Microsoft devem ser seguros. As configurações híbridas, nas quais os clientes empregam uma combinação de servidores locais e remotos, são tão vulneráveis quanto as independentes, mas compreendem apenas uma fração dos dispositivos afetados.
Os webshells encontrados pelo GTSC em servidores comprometidos contêm caracteres chineses simplificados, então os pesquisadores especulam que os cibercriminosos desconhecidos podem ser hackers de Pequim patrocinados pela ditadura da China. Em última análise, os hackers usam as falhas de dia zero para instalar um novo backdoor projetado para emular o Exchange Web Service.
Considerando o risco de alta gravidade e o grande número de alvos em potencial, a Microsoft já está trabalhando em um possível patch out-of-band para fechar as novas falhas o mais rápido possível. Enquanto isso, Redmond recomenda fortemente aos clientes do Exchange Aplique mitigações, incluindo um bloqueio no tráfego da Internet através da porta HTTP 5985 e porta HTTPS 5986.
“Os clientes do Exchange Online não precisam fazer nada”, afirmou a empresa.