Read, hack, repeat

Ataques contra servidores Microsoft Exchange crescem 1028% em uma semana

Guilherme Petry

Depois do descobrimento de quatro vulnerabilidades de dia zero no Microsoft Exchange, no começo deste mês, o número de tentativas de ataques às empresas clientes da ferramenta aumentou 1028%, indo de 700 na primeira semana, para 7.200 na segunda semana de março, informa a equipe de pesquisa da Check Point, fornecedora israelense de segurança da informação.

Segundo os pesquisadores, neste cenário, o Brasil e a Rússia dividem o quarto lugar de países mais atacados, com 4% cada, ficando atrás dos Estados Unidos (17%), da Alemanha (6%) e do Reino Unido (5%). Agências governamentais, fornecedores de governos e exércitos estão entre os mais afetados, com 23%. O segundo lugar fica com a indústria de manufatura, com 15%; já bancos e instituições financeiras representam 14%; fornecedores de software, 7% e setor da saúde com 6%.

Informações foram organizadas pela Check Point Research (CPR), equipe de pesquisa e inteligência em ameaças empresa israelense. Foto: Divulgação Check Point.
Informações foram organizadas pela Check Point Research (CPR), equipe de pesquisa e inteligência em ameaças empresa israelense. Foto: Divulgação Check Point.

Essas vulnerabilidades permitem que cibercriminosos acessem contas de e-mails de usuários de um servidor Windows, equipado com o software Microsoft Exchange, um serviço de e-mail muito semelhante o Microsoft Outlook. Caso escaladas, as vulnerabilidades podem ser usadas para assumir controle total de um servidor desatualizado.

"Uma vez que um cibercriminoso assume o controle do servidor Exchange, ele pode abrir a rede para a internet e acessá-la remotamente. Como muitos servidores Exchange estão conectados à internet e integrados à rede geral, isso representa um risco crítico de segurança para milhões de empresas", escreve a Check Point, em um comunicado à imprensa.

Ameaça à indústria nacional

A The Hack entrou em contato com o country manager, Carlos Rodrigues, da Varonis, que está investigando a situação com seus clientes, para entender o nível de ameaça que essas vulnerabilidades representam à indústria brasileira.

Para o executivo, o Brasil é um alvo global para cibercriminosos e o número de ataques direcionados as empresas nacionais está crescendo. Além disso, as vulnerabilidades do Microsoft Exchange podem representar uma ameaça ainda mais preocupante na economia brasileira, já que aqui, grande parte das empresas operam com servidores internos.

“O número de ataques no Brasil tem aumentado bastante nos últimos tempos. Na realidade, o país é um alvo global para hackers. No Brasil, a maioria das empresas ainda opera com servidores Exchange on-premises [internos]. Existem grupos atuando fortemente no país, por isso, as organizações precisam operar de modo a prevenir incidentes”, diz.

Carlos explica que, especialmente nesta última semana de março, vários grupos diferentes aproveitaram as recém-descobertas vulnerabilidades para espionar e roubar dados de empresas, simultaneamente. O que dificulta o trabalho de investigação da polícia e dos pesquisadores de segurança.

“Vários grupos atacaram simultaneamente, com objetivo de maximizar o resultado dos ataques, gerando um enorme esforço para as vítimas. Provavelmente, neste mesmo momento, outros grupos e criminosos também estão tendo acesso às informações, multiplicando e polarizando a forma de ataque. Isso torna o rastreio e a aplicação de soluções um processo cada vez mais complexo”, explica Carlos.

Atualização não é automática e deve ser feita manualmente

As quatro vulnerabilidades de dia zero foram corrigidas em uma atualização lançada no dia 02 de março, depois que a Microsoft identificou cibercriminosos ligados ao governo da China espionando mais 30 mil organizações norte-americanas.

É importante lembrar que, por padrão, as atualizações não são automáticas e devem ser feitas manualmente, através do próprio Microsoft Exchange, ou pelo "Microsoft Exchange On-Premises Mitigation Tool", uma ferramenta interativa, desenvolvida para ajudar empresas que não possuem uma equipe de tecnologia interna a atualizar seus sistemas.

“O problema é que, quase sempre, há um “delay” entre o lançamento do “patch” e a atualização por parte do usuário. Por isso, é imprescindível que o sistema operacional seja configurado para receber atualizações automáticas”, conclui o executivo.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.