Microsoft confirma falhas no Exchange Server, mas correção não está pronta

Empresa sugere medidas de mitigação e detecção enquanto reparo não chega; falhas foram descobertas na investigação de ataques no Vietnã

Giovanni Santa Rosa
Por

A Microsoft confirmou nesta quinta-feira (29) a existência de duas vulnerabilidades no Exchange Server. Ambas as falhas já estão sendo usadas para ataques por hackers e cibercriminosos. A empresa diz que a solução está sendo desenvolvida em um “cronograma acelerado”, mas não estipulou uma data para liberar a correção.

Microsoft
Microsoft (Imagem: Vitor Pádua / Tecnoblog)

As falhas foram descobertas pela empresa vietnamita de cibersegurança GTSC. A companhia estava trabalhando em resposta a um incidente reportado por um cliente em agosto de 2022 quando identificou as vulnerabilidades.

Uma das falhas recebeu o código CVE-2022-41040. Ela é do tipo falsificação de requisição server-side (SSRF, na sigla em inglês). A outra foi chamada CVE-2022-41082 e permite que um atacante com acesso ao PowerShell execute códigos de modo remoto.

A Microsoft diz que os agentes mal-intencionados precisam de acesso autenticado, como credenciais roubadas, para tirar proveito das vulnerabilidades. Elas afetam servidores on-premise com Exchange 2013, 2016 e 2019.

A GTSC, porém, relata que os cibercriminosos conseguiram unir as duas falhas e atacar “lateralmente” a rede, usando uma máquina comprometida para ter acesso a outras conectadas.

A empresa de segurança Trend Micro classificou a gravidade das vulnerabilidades em 8,8 e 6,3, em uma escala que vai de zero a dez, sendo dez o mais grave.

Microsoft ainda não liberou correção

O Microsoft Exchange é um serviço de e-mail corporativo para empresas, que pode ser instalado nos próprios servidores.

Apesar de reconhecer as falhas, a Microsoft disponibilizou apenas mitigações e detecções para que os consumidores possam se proteger das vulnerabilidades.

A empresa diz trabalhar com um “cronograma acelerado” para liberar o reparo.

O passo a passo da mitigação sugerida pela Microsoft está disponível no blog do Microsoft Security Response Center.

Para detecção, a empresa sugere as ferramentas Sentinel, Defender for Endpoint e Defender Antivirus, todas dela mesma.

Hackers chineses podem estar por trás de ataques

A GTSC suspeita que um grupo chinês pode estar por trás dos ataques sofridos por seus clientes.

Um motivo para isso é que a página de código (ou codepage) do webshell usa codificação para caracteres chineses.

Além disso, os atacantes usaram o webshell China Chopper, comum em ataques feitos com apoio do estado chinês.

Com informações: Microsoft Security Response Center, TechCrunch.

Relacionados

Relacionados