Microsoft confirma falhas no Exchange Server, mas correção não está pronta
Empresa sugere medidas de mitigação e detecção enquanto reparo não chega; falhas foram descobertas na investigação de ataques no Vietnã
A Microsoft confirmou nesta quinta-feira (29) a existência de duas vulnerabilidades no Exchange Server. Ambas as falhas já estão sendo usadas para ataques por hackers e cibercriminosos. A empresa diz que a solução está sendo desenvolvida em um “cronograma acelerado”, mas não estipulou uma data para liberar a correção.
As falhas foram descobertas pela empresa vietnamita de cibersegurança GTSC. A companhia estava trabalhando em resposta a um incidente reportado por um cliente em agosto de 2022 quando identificou as vulnerabilidades.
Uma das falhas recebeu o código CVE-2022-41040. Ela é do tipo falsificação de requisição server-side (SSRF, na sigla em inglês). A outra foi chamada CVE-2022-41082 e permite que um atacante com acesso ao PowerShell execute códigos de modo remoto.
A Microsoft diz que os agentes mal-intencionados precisam de acesso autenticado, como credenciais roubadas, para tirar proveito das vulnerabilidades. Elas afetam servidores on-premise com Exchange 2013, 2016 e 2019.
A GTSC, porém, relata que os cibercriminosos conseguiram unir as duas falhas e atacar “lateralmente” a rede, usando uma máquina comprometida para ter acesso a outras conectadas.
A empresa de segurança Trend Micro classificou a gravidade das vulnerabilidades em 8,8 e 6,3, em uma escala que vai de zero a dez, sendo dez o mais grave.
Microsoft ainda não liberou correção
O Microsoft Exchange é um serviço de e-mail corporativo para empresas, que pode ser instalado nos próprios servidores.
Apesar de reconhecer as falhas, a Microsoft disponibilizou apenas mitigações e detecções para que os consumidores possam se proteger das vulnerabilidades.
A empresa diz trabalhar com um “cronograma acelerado” para liberar o reparo.
O passo a passo da mitigação sugerida pela Microsoft está disponível no blog do Microsoft Security Response Center.
Para detecção, a empresa sugere as ferramentas Sentinel, Defender for Endpoint e Defender Antivirus, todas dela mesma.
Hackers chineses podem estar por trás de ataques
A GTSC suspeita que um grupo chinês pode estar por trás dos ataques sofridos por seus clientes.
Um motivo para isso é que a página de código (ou codepage) do webshell usa codificação para caracteres chineses.
Além disso, os atacantes usaram o webshell China Chopper, comum em ataques feitos com apoio do estado chinês.
Com informações: Microsoft Security Response Center, TechCrunch.
