Acredita-se que os ataques aos servidores Microsoft Exchange em todo o mundo pelo grupo de ameaça Hafnium, patrocinado pelo Estado chinês, tenham afectado mais de 21.000 organizações. O impacto destes ataques está a aumentar, uma vez que as quatro vulnerabilidades de dia zero estão a ser detectadas por novos agentes de ameaças.
Embora estas vulnerabilidades críticas tenham sido apresentadas ao mundo a2 de Março, quando a Microsoft lançou actualizações de segurança e orientações de atenuação, a primeira exploração conhecida desta vulnerabilidade ocorreu no início de Janeiro. Embora a aplicação das actualizações recomendadas pela Microsoft proteja as organizações contra a exploração contínua ou futura destas vulnerabilidades conhecidas, não atenuam quaisquer comprometimentos que já tenham ocorrido. E como estas vulnerabilidades do Exchange estão expostas à Internet, os cibercriminosos continuam a procurar vorazmente sistemas não corrigidos para atacar a uma escala sem precedentes.
Recentemente, tive a oportunidade de falar com Alan Sugano, presidente do ADS Consulting Group, sobre os ataques Hafnium para um episódio do Podcast HIP. Através do seu trabalho com o ADS Consulting Group, uma organização de apoio a muitas empresas de pequena e média dimensão com um profundo conhecimento do Microsoft Exchange, Alan está intimamente envolvido nos esforços de correcção e atenuação relacionados com os ataques Hafnium. Quando falei com Alan, discutimos o que são exactamente os ataques Hafnium e como proporcionam acesso não autorizado a sistemas críticos como o Active Directory (AD), bem como orientações práticas sobre como as empresas se podem defender contra estes ataques.
Como é que os ataques de Hafnium funcionam?
Os ataques Hafnium são, em grande parte, ataques automatizados que procuram Exchange Servers não corrigidos com base na informação actual que temos neste momento. Tirando partido de quatro vulnerabilidades de dia zero, os atacantes conseguem efectuar pesquisas remotas de Exchange Servers que estejam expostos à Internet para obter acesso a qualquer Exchange Server através do Outlook Web Access (OWA). Em seguida, criam uma shell Web para controlar remotamente o servidor comprometido para roubar os dados de uma organização e obter acesso não autorizado a sistemas críticos como o AD. Ao visar o AD, os cibercriminosos podem elevar os privilégios e deslocar-se lateralmente para outros sistemas e ambientes.
Como é que uma organização pode confirmar se foi pirateada?
Um dos maiores indicadores de comprometimento (IOCs) é a presença de um ficheiro ASPX que não parece que deveria estar lá. As organizações podem procurar estes ficheiros web shell verificando este caminho C:inetpubwwwrootaspnet_clientsystem_web. A Microsoft também lançou vários scripts PowerShell para as organizações executarem uma verificação de IOCs Hafnium em diferentes pastas, bem como os nomes de ficheiros a procurar.
Uma vez que o ficheiro ASPX está lá, não importa se uma organização corrigiu o seu servidor. Se o ficheiro ASPX estiver lá, isso significa que o shell da Web já foi instalado e que um atacante tem acesso a sistemas vulneráveis.
Que medidas devem as organizações tomar para verificar se foram comprometidas?
As organizações podem ser atingidas por múltiplas variantes do Hafnium, e é possível que já tenham sido criadas novas variantes que fariam com que o web shell aparecesse numa pasta diferente que não está listada nos scripts PowerShell da Microsoft. Por esta razão, o curso de acção recomendado é descarregar o Microsoft Safety Scanner. Este executará uma análise completa do Exchange Server de uma organização e detectará web shells que o software antivírus comercial é simplesmente incapaz de detectar. Confiar no software antivírus tradicional apenas dará à sua organização uma falsa sensação de segurança, deixando-a vulnerável.
É importante notar que durante a verificação real, o Microsoft Safety Scanner pode detectar "ficheiros infectados". Parece assustador, mas pode ser apenas uma parte de um ficheiro que corresponde a um dos padrões que o scanner está a procurar. Para saber com certeza se a sua organização foi ou não comprometida, terá de rever os resultados completos após a conclusão da verificação do índice. Embora o Safety Scanner elimine automaticamente todos os ficheiros infectados, é uma prática recomendada executar a análise completa novamente depois de reiniciar o Exchange Server para garantir que não há ficheiros perdidos.
Que medidas de correcção deve tomar uma organização comprometida?
Se o Microsoft Security Scanner encontrar uma shell Web, a organização deve também verificar as ScheduledTasks para garantir que não existem tarefas agendadas que executem o VSPerfMon, que abre backdoors que mantêm o acesso persistente aos Exchange Servers comprometidos. Para o fazer, abra uma linha de comandos no Exchange Server e execute Schtasks.exe. Outra backdoor potencial é a presença de uma chave de caminho de imagem para um navegador Opera, que os atacantes utilizam como método para lançar um trojan de acesso remoto para permitir o controlo administrativo. Antes de remover quaisquer backdoors, as organizações deverão bloquear o acesso ao OWA para evitar que os atacantes introduzam outro backdoor durante o processo de correcção.
Para além disso, qualquer incursão na rede de uma organização conduz inevitavelmente ao AD, uma vez que este fornece aos atacantes acesso a credenciais privilegiadas. Isto significa que, se o AD for comprometido, todo o ambiente de uma organização fica comprometido. A análise de sistemas para IOCs e IOEs (indicadores de exposição) é um passo fundamental para reforçar a segurança do AD. Uma coisa que pode ajudar, e que eu recomendo vivamente que os profissionais de segurança aproveitem, é Purple KnightSemperis, uma ferramenta de avaliação de segurança gratuita que foi concebida para analisar o AD em busca de 59 IOEs e IOCs diferentes em segundos. A Semperis também melhorou recentemente o Directory Services Protector ( DSP) v3.5, que permite às organizações monitorizar continuamente o AD em busca de indicadores de segurança pré e pós-ataque e descobrir vulnerabilidades perigosas.
Por último, é importante que as equipas de segurança façam um esforço consciente para se manterem actualizadas sobre as notícias relacionadas com o Hafnium e o Exchange Server, especialmente sobre quaisquer novas descobertas de vulnerabilidades. O blogue TRUESEC e o blogue Huntress são excelentes fontes de informação.
O acesso que pode ser obtido através da exploração das vulnerabilidades é significativo. Ao actuar rapidamente para remover os web shells e quaisquer outros backdoors, as organizações podem potencialmente salvaguardar os seus dados antes que os atacantes tenham a oportunidade de começar a explorar os dados dos servidores comprometidos.
-
Ouça a conversa completa sobre os ataques de háfnio com Sean Deuby, director de serviços da Semperis, e Alan Sugano, presidente do ADS Consulting Group, no último episódio do Podcast HIP.
