O ALERTA:
O Departamento de Segurança Interna dos EUA (DHS – Department of Homeland Security) emitiu uma diretiva de emergência [1] na última quarta-feira 03/3/2021 alertando a necessidade de ação imediata e URGENTE para corrigir problemas de 4 vulnerabilidades descobertas em servidores de e-mail que utilizam o software Microsoft Exchange. Ademais, falha atinge empresas que utilizam o Microsoft Exchange em servidores próprios, sejam em redes locais, datacenters proprietários ou em nuvem.
Contudo, produtos com Microsoft Exchange on-line existentes dentro dos serviços Microsoft 365 (Exchange On-line) ou Microsoft Azure não parecem afetados, até o momento de elaboração desta nota.
Uma nota de alerta da Microsoft [2] reforça:
“Devido à natureza crítica dessas vulnerabilidades, recomendamos que os clientes apliquem as atualizações aos sistemas afetados imediatamente para se proteger contra essas explorações e evitar abusos futuros em todo o ecossistema.”
VERSÕES AFETADAS:
Versões identificadas como afetadas são:
- Microsoft Exchange Server 2013;
- Microsoft Exchange Server 2016;
- Microsoft Exchange Server 2019.
Assim, as vulnerabilidades que estão sendo exploradas com sucesso estão classificadas nos seguintes identificadores de vulnerabilidades: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, listados no final deste documento. As vulnerabilidades classificadas como CVE-2021-26412, CVE-2021-26854, CVE-2021-27078 estão relacionadas com as vulnerabilidades, mas, até onde sabemos, ainda não foram exploradas, entretanto exigem atenção.
O QUE FAZER:
As empresas e instituições que usam o Microsoft Exchange em instalações próprias devem aplicar com urgência imediata as atualizações de segurança. Além disso, a atualização depende de qual versão do Exchange está em uso. Ainda mais, as instruções detalhadas estão explicadas no link [2] e as versões de atualização para downloads estão no link [3].
MITIGAÇÃO:
Para ter sucesso, o atacante precisa fazer uma conexão não confiável à porta 443/TCP do servidor Exchange. Certamente, isso pode ser mitigado fazendo com que o firewall de conexões de entrada restrinja as conexões não confiáveis à porta 443/TCP, ou configurando uma VPN para separar o servidor Exchange do acesso externo. Entretanto isso não resolve totalmente o problema, e protegerá apenas até uma certa parte, porque o ataque pode vir da rede interna ou por intermédio da VPN ou por meio de um arquivo malicioso colocado para dentro da rede. Portanto, a única solução realmente segura é aplicar as correções de atualização.
DETECÇÃO DE SERVIDORES VULNERÁVEIS:
A princípio, a equipe de TI ou de redes pode identificar servidores potencialmente vulneráveis ao ataque utilizando um script de Nmap que varre uma rede em busca servidores com Microsoft Exchange sem a atualização de segurança recomendada. Veja no link [4].
DETECÇÃO DE SERVIDORES COMPROMETIDOS:
Sobretudo, para detectar se o servidor Exchange já foi violado, a Microsoft fornece comandos de console e de PowerShell para verificar os logs de eventos do Exchange Server em busca de rastros do ataque. Veja no link [5]
Referências (em inglês):
[1] USA-DHS Emergency Directive 21-02.
[2] Released: March 2021 Exchange Server Security Updates
[3] Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871).
[4] Scrip Nmap por Kevin Beaumont – Microsoft Senior Threat Intelligence Analyst.
[5] HAFNIUM targeting Exchange Servers with 0-day exploits.
Apêndice – Vulnerabilidade catalogadas / Informações Técnicas:
CVE-2021-26855 é uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Exchange que permite ao invasor enviar solicitações HTTP arbitrárias e autenticar como o servidor Exchange.
CVE-2021-26857 é uma vulnerabilidade de desserialização insegura no serviço de Unificação de Mensagens. Ademais, a desserialização insegura ocorre quando dados não confiáveis controláveis pelo usuário são desserializados por um programa. A exploração dessa vulnerabilidade dá ao atacante a capacidade de executar código como SYSTEM no servidor Exchange. Então, isso requer permissão de administrador ou outra vulnerabilidade a ser explorada.
CVE-2021-26858 e CVE-2021-27065 são uma das vulnerabilidades de gravação de arquivo arbitrária, pós-autenticação, no Exchange. Bem como, se os atacantes puderem autenticar com o servidor Exchange, eles poderão usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor. Portanto, eles podem se autenticar explorando a vulnerabilidade CVE-2021-26855 SSRF ou comprometendo as credenciais de um administrador legítimo.
Para mais informações sobre a classificação das vulnerabilidades, clique aqui.
Por Resh Strike Team, 04/03/2021