Segurança interna Declara "Emergência" de ataque ao Microsoft Exchange

A Segurança Interna declarou um ataque contínuo contra o Microsoft Exchange como uma emergência. Os ataques, que começaram no início desta semana, têm como alvo os servidores Microsoft Exchange, agrupando várias explorações de dia zero para acessar contas de e-mail seguras.

Segurança interna: Ataque é um "risco inaceitável"

Segurança interna emitida Diretiva de Emergência 21-02 no final de 3 de março, entregando algumas informações básicas sobre o ataque ao Microsoft Exchange.

Os parceiros da CISA observaram a exploração ativa de vulnerabilidades em produtos locais do Microsoft Exchange. Atualmente, nem as vulnerabilidades nem a atividade de exploração identificada afetam as implantações do Microsoft 365 ou do Azure Cloud. A exploração bem-sucedida dessas vulnerabilidades permite que um invasor acesse servidores Exchange locais, permitindo que eles obtenham acesso persistente ao sistema e controle de uma rede corporativa.

A diretriz então explica que um ataque dessa natureza "representa um risco inaceitável para as agências do Poder Executivo Civil Federal e requer ação emergencial".

A Segurança Interna estabeleceu um prazo de 12h EST na sexta-feira, 5 de março, para que as agências federais cumpram os protocolos de análise e mitigação estabelecidos na diretiva.

Atualmente, cada agência deve identificar seus servidores Microsoft Exchange, concluir uma triagem forense de seu sistema memória, logs e colmeias de registro, em seguida, analise os resultados para quaisquer indicadores de roubo de credencial ou outro compromissos.

Relacionado: As melhores alternativas gratuitas para o Microsoft Outlook

Quem está atacando os servidores Microsoft Exchange?

A Microsoft apontou o número diretamente para um grupo de hackers de estado-nação chinês conhecido como HAFNIUM. Normalmente, as empresas demoram um pouco mais antes de se comprometerem a nomear um suspeito, mas a Microsoft tem poucas dúvidas de que um "ator altamente qualificado e sofisticado" está por trás do ataque.

O Microsoft Threat Intelligence Center (MSTIC) atribui esta campanha com alta confiança ao HAFNIUM, um grupo avaliado para ser patrocinado pelo Estado e operando fora da China, com base na vitimologia observada, táticas e procedimentos.

Parte do motivo para isso é que o ataque do Microsoft Exchange agrupa quatro vulnerabilidades anteriormente desconhecidas. Você pode ler os detalhes no oficial Blog de segurança da Microsoft.

A Microsoft também observa que observou o HAFNIUM interagindo com seu pacote Microsoft Office 365, investigando vulnerabilidades. Ele também confirmou que esse ataque não tem relação com a SolarWinds, o enorme ataque cibernético que afetou várias agências governamentais dos Estados Unidos, juntamente com várias empresas líderes de tecnologia.

Relacionado: Microsoft revela o alvo real do ataque cibernético da SolarWinds

A boa notícia é que, embora esses ataques continuem e representem uma ameaça significativa contra a Microsoft Servidores Exchange, a equipe de segurança da Microsoft já lançou uma série de patches para atenuar o vulnerabilidades.

Você pode encontrar mais detalhes sobre os patches do Microsoft Exchange Server no Site da comunidade de tecnologia da Microsoft, incluindo como baixar e instalar as atualizações, bem como verificar seus servidores Exchange em busca de sinais de comprometimento.

6 maneiras fáceis de aumentar a segurança no Microsoft Defender e no Windows 10

O Microsoft Defender é uma ferramenta de segurança embutida no Windows 10. Torne-o ainda melhor com estes 6 aumentos de segurança fáceis.

Sobre o autor