Por Resh Strike Team, 04/03/2021

O ALERTA:

O Departamento de Segurança Interna dos EUA (DHS – Department of Homeland Security) emitiu uma diretiva de emergência [1] na última quarta-feira 03/3/2021 alertando a necessidade de ação imediata e URGENTE para corrigir problemas de 4 vulnerabilidades descobertas em servidores de e-mail que utilizam o software Microsoft Exchange. A falha atinge empresas que utilizam o Microsoft Exchange em servidores próprios, sejam em redes locais, datacenters proprietários ou em nuvem.

Os produtos com Microsoft Exchange on-line existentes dentro dos serviços Microsoft 365 (Exchange On-line) ou Microsoft Azure não parecem afetados, até o momento de elaboração desta nota.

Uma nota de alerta da Microsoft [2] reforça:

 “Devido à natureza crítica dessas vulnerabilidades, recomendamos que os clientes apliquem as atualizações aos sistemas afetados imediatamente para se proteger contra essas explorações e evitar abusos futuros em todo o ecossistema.”

VERSÕES AFETADAS:

Versões identificadas como afetadas são:

·         Microsoft Exchange Server 2013;

·         Microsoft Exchange Server 2016;

·         Microsoft Exchange Server 2019.

As vulnerabilidades que estão sendo exploradas com sucesso estão classificadas nos seguintes identificadores de vulnerabilidades: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, listados no final deste documento. As vulnerabilidades classificadas como CVE-2021-26412, CVE-2021-26854, CVE-2021-27078 estão relacionadas com as vulnerabilidades, mas, até onde sabemos, ainda não foram exploradas, entretanto exigem atenção.

O QUE FAZER:

As empresas e instituições que usam o Microsoft Exchange em instalações próprias devem aplicar com urgência imediata as atualizações de segurança. A atualização depende de qual versão do Exchange está em uso. As instruções detalhadas estão explicadas no link [2] e as versões de atualização para downloads estão no link [3].

MITIGAÇÃO:

Para ter sucesso, o atacante precisa fazer uma conexão não confiável à porta 443/TCP do servidor Exchange. Isso pode ser mitigado fazendo com que o firewall de conexões de entrada restrinja as conexões não confiáveis à porta 443/TCP, ou configurando uma VPN para separar o servidor Exchange do acesso externo. Entretanto isso não resolve totalmente o problema, e protegerá apenas até uma certa parte, porque o ataque pode vir da rede interna ou por intermédio da VPN ou por meio de um arquivo malicioso colocado para dentro da rede. A única solução realmente segura é aplicar as correções de atualização.

DETECÇÃO DE SERVIDORES VULNERÁVEIS:

A equipe de TI ou de redes pode identificar servidores potencialmente vulneráveis ao ataque utilizando um script de Nmap que varre uma rede em busca servidores com Microsoft Exchange sem a atualização de segurança recomendada. Veja no link [4].

DETECÇÃO DE SERVIDORES COMPROMETIDOS:

Para detectar se o servidor Exchange já foi violado, a Microsoft fornece comandos de console e de PowerShell para verificar os logs de eventos do Exchange Server em busca de rastros do ataque. Veja no link [5]

Referências (em inglês)

[1] USA-DHS Emergency Directive 21-02.

[2] Released: March 2021 Exchange Server Security Updates

[3] Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871).

[4] Scrip Nmap por Kevin Beaumont – Microsoft Senior Threat Intelligence Analyst.

[5] HAFNIUM targeting Exchange Servers with 0-day exploits.

Apêndice – Vulnerabilidade catalogadas / Informações Técnicas:

CVE-2021-26855 é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite ao invasor enviar solicitações HTTP arbitrárias e autenticar como o servidor Exchange.

CVE-2021-26857 é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. A desserialização insegura ocorre quando dados não confiáveis ​​controláveis ​​pelo usuário são desserializados por um programa. A exploração dessa vulnerabilidade dá ao atacante a capacidade de executar código como SYSTEM no servidor Exchange. Isso requer permissão de administrador ou outra vulnerabilidade a ser explorada.

CVE-2021-26858 e CVE-2021-27065 são uma das vulnerabilidades de gravação de arquivo arbitrária, pós-autenticação, no Exchange. Se os atacantes puderem autenticar com o servidor Exchange, eles poderão usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.