![\"Banner](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/MSP-securiity-alert-banner.png\")
<\/p>\n<\/p>\n
Atualizado em 16 de mar\u00e7o de 2021.\u00a0<\/strong><\/p>\n Na ter\u00e7a-feira, 2 de mar\u00e7o, a Microsoft anunciou<\/a> que havia detectado uma s\u00e9rie de quatro explora\u00e7\u00f5es de vulnerabilidades de dia zero<\/a> que estavam sendo ativamente usadas para atacar vers\u00f5es do Exchange Server local<\/strong>. Os patches est\u00e3o dispon\u00edveis<\/a> e as organiza\u00e7\u00f5es est\u00e3o sendo fortemente aconselhadas a identificar, atualizar e verificar os sistemas vulner\u00e1veis o mais r\u00e1pido poss\u00edvel.<\/p>\n Criamos esta postagem para coletar recursos e informa\u00e7\u00f5es relacionadas e a atualizaremos regularmente.<\/p>\n <\/p>\n A seguir, h\u00e1 \u00f3timos resumos e t\u00f3picos a serem seguidos para se atualizar:<\/p>\n <\/p>\n Ca\u00e7adora T\u00f3pico de resposta r\u00e1pida da Huntress<\/a> voltado especificamente para MSPs, incluindo informa\u00e7\u00f5es sobre amea\u00e7as e descobertas do exame de sua pr\u00f3pria base de parceiros. A Huntress est\u00e1 atualizando ativamente \u00e0 medida que novas informa\u00e7\u00f5es s\u00e3o disponibilizadas.<\/p>\n A Huntress tamb\u00e9m organizou um webinar em 4 de mar\u00e7o, \u00e0s 13h (hor\u00e1rio de Bras\u00edlia), e apresentou um resumo de suas pesquisas e observa\u00e7\u00f5es at\u00e9 o momento. Assista sob demanda aqui.<\/a><\/p>\n Volexidade Um dos primeiros a identificar (6 de janeiro!) e relatar essa atividade. Esta publica\u00e7\u00e3o fornece mais detalhes sobre como as vulnerabilidades est\u00e3o sendo realmente exploradas, bem como uma pequena lista de t\u00e1ticas, t\u00e9cnicas e procedimentos (TTPs) observados ap\u00f3s a explora\u00e7\u00e3o. Ele tamb\u00e9m fornece IoCs adicionais.<\/p>\n FireEye Tamb\u00e9m confirma a observa\u00e7\u00e3o de abuso em janeiro e cont\u00e9m outra boa an\u00e1lise t\u00e9cnica dos ataques. Cont\u00e9m dicas adicionais para investigar poss\u00edveis comprometimentos (veja abaixo).<\/p>\n Can\u00e1rio Vermelho Fornece um detalhamento da atividade de amea\u00e7a p\u00f3s-explora\u00e7\u00e3o que o Red Canary identificou, juntamente com oportunidades pr\u00e1ticas de detec\u00e7\u00e3o e recomenda\u00e7\u00f5es de corre\u00e7\u00e3o.<\/p>\n CrowdStrike Se voc\u00ea conseguir superar o t\u00edtulo e o \u00e2ngulo de vendas, esta publica\u00e7\u00e3o fornecer\u00e1 detalhes t\u00e9cnicos adicionais, IoCs e uma boa recapitula\u00e7\u00e3o da descoberta e da busca de amea\u00e7as.<\/p>\n <\/p>\n A Microsoft identificou quatro vulnerabilidades que est\u00e3o sendo exploradas ativamente, mas a atualiza\u00e7\u00e3o de seguran\u00e7a fora de banda da empresa tamb\u00e9m aborda tr\u00eas vulnerabilidades adicionais de execu\u00e7\u00e3o remota de c\u00f3digo (RCE) que n\u00e3o foram associadas aos ataques ativos.<\/p>\n Acesso inicial<\/strong><\/span><\/p>\n CVSSv3: 9.1<\/strong><\/p>\n Uma vulnerabilidade de falsifica\u00e7\u00e3o de solicita\u00e7\u00e3o do lado do servidor (SSRF) no Exchange que permite que invasores remotos enviem solicita\u00e7\u00f5es HTTP arbitr\u00e1rias e se autentiquem como o servidor do Exchange.<\/p>\n De acordo com a empresa de seguran\u00e7a Volexity:<\/a><\/p>\n Essa vulnerabilidade pode ser explorada remotamente e n\u00e3o exige autentica\u00e7\u00e3o de nenhum tipo, nem conhecimento ou acesso especial a um ambiente-alvo. O invasor s\u00f3 precisa conhecer o servidor que executa o Exchange e a conta da qual deseja extrair o e-mail.<\/em><\/p>\n A explora\u00e7\u00e3o bem-sucedida dessa vulnerabilidade d\u00e1 a um invasor a oportunidade de explorar as tr\u00eas vulnerabilidades adicionais abaixo.<\/p>\n Execu\u00e7\u00e3o de c\u00f3digo remoto (RCE) p\u00f3s-autentica\u00e7\u00e3o<\/strong><\/span><\/p>\n CVSSv3: 7.8<\/strong><\/p>\n De acordo com a Tenable<\/a>, a falha est\u00e1 no\u00a0Exchange Unified Messaging Service<\/a>, que permite a funcionalidade de correio de voz, al\u00e9m de outros recursos. Ele permite executar c\u00f3digo como SYSTEM no servidor Exchange, mas requer permiss\u00e3o do administrador ou outra vulnerabilidade para ser explorado.<\/p>\n CVSSv3: 7.8<\/strong><\/p>\n Se os invasores conseguirem se autenticar no servidor Exchange (explorando o CVE-2021-26855 ou comprometendo as credenciais de um administrador leg\u00edtimo), eles poder\u00e3o usar essa vulnerabilidade para gravar um arquivo em qualquer caminho no servidor.<\/p>\n CVSSv3: 7.8<\/strong><\/p>\n Idem.<\/p>\n <\/p>\n Notas sobre a atividade p\u00f3s-explora\u00e7\u00e3o<\/span><\/strong><\/p>\n Como relataram a FireEye<\/a>, a Volexity<\/a> e outros, os invasores abusaram dessas vulnerabilidades para lan\u00e7ar shells da Web, incluindo variantes do China Chopper<\/a>. Isso d\u00e1 aos atacantes a capacidade de preparar o cen\u00e1rio e realizar uma variedade de atividades p\u00f3s-explora\u00e7\u00e3o.<\/p>\n As TTPs observadas incluem:<\/p>\n Para obter mais informa\u00e7\u00f5es sobre a atividade de amea\u00e7as p\u00f3s-explora\u00e7\u00e3o, consulte a pesquisa da Red Canary<\/a>.<\/p>\n <\/p>\n vulnerabilidades “b\u00f4nus” n\u00e3o relacionadas<\/strong><\/span><\/p>\n Al\u00e9m dessas vulnerabilidades de dia zero, a Microsoft tamb\u00e9m corrigiu as seguintes falhas de RCE n\u00e3o relacionadas:<\/p>\n <\/p>\n Como a Huntress disse sucintamente durante seu webinar<\/a>: todos eles.<\/strong><\/p>\n Observa\u00e7\u00e3o:<\/strong> A Microsoft confirmou que o Exchange Online N\u00c3O foi afetado.<\/a><\/p>\n Apesar de a Microsoft ter inicialmente descrito os ataques como sendo “limitados e direcionados”, as descobertas subsequentes de outros fornecedores e pesquisadores indicam que a atividade tem sido muito mais ampla e indiscriminada.<\/p>\n Atualizar: Estima-se que pelo menos 30.000 organiza\u00e7\u00f5es dos EUA tenham sido comprometidas<\/strong><\/p>\n Na sexta-feira, 5 de mar\u00e7o, Brian Krebs informou que v\u00e1rias fontes estavam estimando que centenas de milhares de organiza\u00e7\u00f5es haviam sido comprometidas em todo o mundo<\/a>, com 30.000 organiza\u00e7\u00f5es comprometidas somente nos EUA.<\/p>\n O jornalista da Wired, Andy Greenberg, confirmou posteriormente:<\/p>\n Confirmando o relato de @briankrebs<\/a> de que o grupo chin\u00eas Hafnium j\u00e1 explorou os zero-days do Microsoft Exchange para invadir dezenas de milhares de redes. Um pesquisador afirma que h\u00e1 30 mil servidores somente nos EUA e centenas de milhares em todo o mundo. “A China acabou de conquistar o mundo.” https:\/\/t.co\/C1FkmBVLNI<\/a><\/p>\n – Andy Greenberg (@a_greenberg) 6 de mar\u00e7o de 2021<\/a><\/p><\/blockquote>\nConte\u00fado<\/h2>\n
\n
Vis\u00e3o geral<\/h2>\n
\n
\n
Informa\u00e7\u00f5es sobre amea\u00e7as de empresas de seguran\u00e7a<\/h2>\n
\n<\/strong>Explora\u00e7\u00e3o em massa de servidores Exchange locais (thread no r\/msp)<\/a><\/p>\n
\n<\/strong>Opera\u00e7\u00e3o Exchange Marauder: Explora\u00e7\u00e3o ativa de v\u00e1rias vulnerabilidades de dia zero do Microsoft Exchange<\/a><\/p>\n
\n<\/strong>Detec\u00e7\u00e3o e resposta \u00e0 explora\u00e7\u00e3o de vulnerabilidades de dia zero do Microsoft Exchange<\/a><\/p>\n
\n<\/strong>Explora\u00e7\u00e3o do servidor Microsoft Exchange: Como detectar, mitigar e manter a calma<\/a><\/p>\n
\n<\/strong>Falcon Complete interrompe as explora\u00e7\u00f5es de dia zero do Microsoft Exchange Server<\/a><\/p>\nQuais s\u00e3o as vulnerabilidades?<\/h2>\n
CVE-2021-26855\u00a0<\/a><\/h4>\n
CVE-2021-26857<\/a><\/h3>\n
CVE-2021-26858<\/a><\/h3>\n
CVE-2021-27065<\/a><\/h3>\n
\n
\n
Quais vers\u00f5es do Exchange s\u00e3o afetadas?<\/h2>\n
![\"quais](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/what-versions-of-exchange-are-vulnerable.png\")
<\/p>\n\n
Qual \u00e9 o grau de dissemina\u00e7\u00e3o dos ataques?<\/h2>\n
\n