Backups e patches que corrigem falhas de segurança têm sido um dos problemas mais problemáticos no campo de TI por muitos anos. E se as coisas estão melhores com o backup (embora a anedota sobre administradores de sistemas que não fazem ou já fazem backups será relevante por muito tempo), então tudo é triste com a segurança. A história com a Garmin é outra confirmação disso.
Financiamento residual, esperanças de "chance" e outros fatores levam a vazamentos regulares e hacks. Mas as coisas ainda estão lá. Cloud4Y mais de uma vez compartilhou histórias engraçadas sobre vazamentos de segurança e hacks . E aqui está outra história que apenas confirma a inércia das empresas em uma questão aparentemente tão importante como a segurança de dados.
Qual é o problema
Em fevereiro de 2020, a Microsoft corrigiu a vulnerabilidade CVE-2020-0688 que afetava os servidores Microsoft Exchange. Esta vulnerabilidade de segurança está presente no componente Painel de Controle do Exchange (ECP) e permite que invasores sequestrem servidores Microsoft Exchange vulneráveis usando qualquer credencial de email válido previamente roubado. Para enfatizar a importância do problema, a empresa adicionou o sinalizador de vulnerabilidade Exploração mais provável “A exploração é altamente provável”, sugerindo que a vulnerabilidade é um alvo atraente para invasores.
Um bug perigoso está relacionado ao trabalho do componente ECP. O Exchange não pode gerar chaves criptográficas exclusivas durante a instalação, o que dá aos invasores que passam o estágio de autenticação a capacidade de executar remotamente código arbitrário com privilégios de SISTEMA e comprometer completamente o servidor vulnerável.
O estágio de autenticação em si, aliás, também não é um problema. Os invasores podem passar por ele usando ferramentas para coletar informações sobre funcionários da empresa por meio do LinkedIn. E, em seguida, use as informações coletadas, juntamente com o enchimento de credenciais, no Outlook Web Access (OWA) e no ECP.
Em fevereiro, especialistas em segurança alertaram que estavam ativamente verificando a rede em busca de servidores Microsoft Exchange vulneráveis. Para realizar o ataque, tudo o que eles precisaram fazer foi localizar servidores vulneráveis, encontrar endereços de e-mail que pudessem ser obtidos no URL do cliente da Web do OWA ou coletar dados de vazamentos anteriores. Se um invasor conseguir navegar até o servidor Exchange, ele poderá divulgar ou falsificar mensagens de email corporativo.
Duas agências ocidentais de segurança da informação NSA e CISA também emitiram avisos pedindo a instalação antecipada do patch CVE-2020-0688, citando casos de exploração desta vulnerabilidade por grupos de hackers.
Foi apreendido e esquecido
Mas, como costuma acontecer, nem todos prestaram atenção ao hype (c). A maioria das empresas ignorou a ameaça. Alguns meses depois, as empresas de segurança cibernética Rapid7 usaram sua ferramenta da web Project Sonar para descobrir todos os servidores Exchange públicos na Internet. E os resultados foram muito tristes.
Eles descobriram que pelo menos 357.629 (82,5%) dos 433.464 servidores Exchange ainda estão abertos a ataques que exploram a vulnerabilidade CVE-2020-0688.
Alguns dos servidores marcados pelo Rapid7 como protegidos de ataques ainda podem ser vulneráveis porque o patch da Microsoft não atualizou todas as compilações de SO. Mas isso não é tudo. Os pesquisadores encontraram cerca de 11.000 servidores executando o Microsoft Exchange 2007 usando o software End of Support (EoS), que encerrou o suporte em 2017, e 166.000 servidores executando o Microsoft Exchange 2010, que encerrará o suporte em outubro de 2020. A cereja do bolo foi a informação de que quase 31 mil servidores Microsoft Exchange 2010 estão conectados à Internet, que não são atualizados desde 2012, e 800 deles nunca foram atualizados.
Decidiremos mais tarde quem é o culpado. O que fazer?
De forma amigável, é necessário não só instalar patches, mas também determinar se os atacantes tentaram explorar a vulnerabilidade. Como os invasores devem assumir o controle de pelo menos uma conta para fazer isso, qualquer conta associada a uma tentativa de exploração deve ser considerada invadida.
Contas de usuário comprometidas que foram usadas para atacar servidores Exchange podem ser detectadas verificando-se os logs de eventos do Windows e IIS em busca de pedaços de carga codificada, incluindo o texto "viewstate inválido" ou a string "__VIEWSTATE" e "__VIEWSTATEGENERATOR" em solicitações de consulta no caminho em o diretório / ecp.
A única saída que deve ser considerada significativa é instalar patches em seus servidores antes que os hackers os encontrem e comprometam completamente toda a sua rede. Caso contrário, pode ser necessário alterar todas as contas de usuário e senhas roubadas.
Links para download de atualizações de segurança para versões afetadas do Microsoft Exchange Server e artigos relacionados da Base de Dados de Conhecimento estão disponíveis na tabela a seguir:
| Versão MS Exchange | Artigo | Fragmento |
| Pacote cumulativo de atualizações 30 do Microsoft Exchange Server 2010 Service Pack 3 | 4536989 | Atualização de Segurança |
| Atualização Cumulativa 23 do Microsoft Exchange Server 2013 | 4536988 | Atualização de Segurança |
| Atualização cumulativa 14 do Microsoft Exchange Server 2016 | 4536987 | Atualização de Segurança |
| Atualização cumulativa 15 do Microsoft Exchange Server 2016 | 4536987 | Atualização de Segurança |
| Atualização cumulativa 3 do Microsoft Exchange Server 2019 | 4536987 | Atualização de Segurança |
| Atualização cumulativa 4 do Microsoft Exchange Server 2019 | 4536987 | Atualização de Segurança |
Não se esqueça da segurança. A falta de proteção alguns meses após o lançamento do patch é extremamente triste.
O que mais você pode ler de útil no blog Cloud4Y
→ Inteligência artificial canta sobre revolução
→ Qual é a geometria do Universo?
→ Precisamos de nuvens no espaço
→ Ovos de Páscoa nos mapas topográficos da Suíça
→ Vencedores do concurso de startups The Europas Awards 2020
Assine o nosso canal Telegram para não perder mais um artigo. Escrevemos no máximo duas vezes por semana e apenas a negócios. A propósito, recentemente realizamos um webinar sobre o cálculo do TCO para projetos de TI, onde respondemos a perguntas prementes. Se você está interessado - bem- vindo!