É um ataque gigantesco a um dos mais importantes softwares empresariais: mais de 30 mil organizações terão sido espiadas através de vulnerabilidades zero day no Microsoft Exchange Server, conforme anunciado pela Microsoft no início de Março. Na Europa, a Autoridade Bancária Europeia foi a primeira grande vítima deste ataque massivo que tem como centro o grupo de hacking ligado ao governo Chinês “Hafnium”, mas envolve outros grupos. A Sophos, que está a acompanhar de perto o problema, deixa desde já a indicação quanto a como procerdermos, por parte do seu Senior Director, Managed Threat Response, Mat Ganwer:
Mat Gangwer comenta: “Estas vulnerabilidades são importantes e devem ser levadas muito a sério. Permitem que os atacantes executem comandos de forma remota, nos servidores afetados, sem necessidade de credenciais; e qualquer ameaça pode tirar partido deles. A utilização ampla do Exchange e a sua exposição à Internet significam que muitas empresas que utilizam um servidor local Exchange podem estar em risco.
Os cibercriminosos estão a explorar ativamente essas vulnerabilidades, sendo a implementação de um webshell a sua técnica principal. Se esta situação não for resolvida, pode permitir que os atacantes executem comandos de forma remota enquanto o webshell está presente.
As empresas que utilizam um servidor Exchange local devem assumir que estão afetadas e, em primeiro lugar, aplicar patches nos seus dispositivos Exchange e confirmar que as atualizações foram realizadas corretamente. No entanto, a simples aplicação dos patches não elimina da rede os artefactos que sejam anteriores à execução do patch. As organizações precisam da inteligência e olhar humanos para determinar se foram realmente afetadas, em que medida e, mais importante do que tudo, para neutralizar o ataque e eliminar o inimigo das suas redes.
As empresas devem rever os registos (logs) no servidor em busca de indícios de que um atacante possa ter invadido o seu servidor Exchange. Muitos dos indicadores atuais de uma vulnerabilidade são baseados em webshell, pelo que não haverá indícios dos ficheiros no servidor Exchange. É, por isso, importante ter uma visão geral sobre os documentos e qualquer modificação que possam ter sofrido. Tendo instalada uma solução de deteção e resposta de endpoints (EDR), também é possível rever os logs e acionar a execução dos comandos.
Se encontrar alguma atividade fora do normal ou suspeita, deve determinar a sua exposição, uma vez que assim poderá decidir o que fazer em seguida. Será necessário saber a duração e impacto que a atividade possa ter tido – qual é o intervalo de tempo entre a aparição do webshell ou de outros artefactos na rede e o momento da sua identificação ou da execução de patches? Se não está seguro do que fazer, este é geralmente um bom momento para pedir apoio externo. A resposta forense e de combate a incidentes por parte de terceiros podem ser fundamentais nesta fase, uma vez que oferecem deteção e combate às ameaças comprovados, bem como inteligência humana capaz de mergulhar na rede e encontrar os atacantes.
A equipa de Managed Threat Response da Sophos está a procurar e a investigar ativamente os ambientes dos clientes para verificar se é possível descobrir novos artefactos ou indicadores de vulnerabilidade que possam ser utlizados para aumentar a deteção e a defesa contra esta ameaça. A nossa equipa de resposta a incidentes 24/7 já está a apoiar as empresas que acreditam ter sido atacadas, o que também nos ajudará a reunir mais informações sobre esta ameaça e como a evitar”, assinala o especialista da Sophos.
A Sophos já divulgou as deteções dos IoCs conhecidos, assim como as ferramentas de pós-exploração utilizadas neste caso.
Para conselhos adicionais e atualizações sobre este ema, a Sophos disponibiliza ainda informações atualizadas na página Sophos News.