Falha grave no Exchange ainda afeta mais de 350 mil servidores

Falha grave no Exchange ainda afeta mais de 350 mil servidores. A vulnerabilidade do Microsoft Exchange foi corrigida em fevereiro é alvo de vários grupos de ameaças.

Mais de 80% dos servidores Exchange expostos ainda estão vulneráveis ​​a uma vulnerabilidade grave – quase dois meses após a falha ter sido corrigida e os pesquisadores alertaram que vários grupos de ameaças a estavam explorando.

A vulnerabilidade em questão ( CVE-2020-0688 ) existe no painel de controle do Exchange, servidor de correio e servidor de calendário da Microsoft. A falha, decorrente do fato de o servidor não conseguir criar corretamente chaves exclusivas no momento da instalação, abre servidores para invasores autenticados, que poderiam executar códigos remotamente com privilégios de sistema.

Pesquisadores recentemente usaram o Project Sonar, uma ferramenta de varredura, para analisar os servidores Exchange da Internet e descobrir quais eram vulneráveis ​​à falha. Dos 433.464 servidores Exchange voltados para a Internet observados, pelo menos 357.629 estavam vulneráveis ​​(em 24 de março).

Se sua organização está usando o Exchange e você não tem certeza se foi atualizado, recomendamos que você pule para a seção Ação imediatamente“, disse Tom Sellers, gerente da equipe do Rapid7 Labs, em um post no blog da empresa feito no dia 06 de abril.

Enquanto a falha foi corrigida como parte das  atualizações da Patch Tuesday de fevreiro da Microsoft  , os pesquisadores alertaram em um comunicado de março   que servidores sem patches estão sendo explorados por atores APT não identificados. Os ataques começaram no final de fevereiro e tiveram como alvo “inúmeras organizações“, disseram os pesquisadores. Eles observaram que os invasores aproveitam a falha para executar comandos do sistema para realizar reconhecimento, implantar backdoors de webshell e executar na memória estruturas de post-exploitation .

Brian Gorenc, diretor de pesquisa de vulnerabilidades e chefe do programa ZDI da Trend Micro (que foi creditado com a descoberta da falha) disse ao Threatpost por e-mail que, embora a vulnerabilidade tenha sido rotulada como “importante” em severidade pela Microsoft, os pesquisadores consideram que ela deve ser tratada como “crítica“. Foi por isso que trabalhamos com a Microsoft para corrigi-lo por meio da divulgação coordenada e por isso fornecemos aos defensores informações detalhadas sobre isso em nosso blog“, afirmou ele. “Achamos que os administradores do Exchange deveriam tratar isso como um patch crítico em vez de importante, conforme rotulado pela Microsoft. Incentivamos todos a aplicar o patch o mais rápido possível para se protegerem dessa vulnerabilidade.

Os problemas de gerenciamento de patches nos servidores Exchange vão além do CVE-2020-0688. Sellers disse que sua investigação revelou que mais de 31.000 servidores Exchange 2010 não foram atualizados desde 2012. E existem quase 800 servidores Exchange 2010 que nunca foram atualizados, disse ele.

Os vendedores instaram os administradores a verificar se uma atualização foi instalada. Ele também disse que os usuários podem determinar se alguém tentou explorar a vulnerabilidade em seu ambiente: “Como a exploração requer uma conta de usuário válida do Exchange, qualquer conta vinculada a essas tentativas deve ser tratada como comprometida“, disse Sellers. “O passo mais importante é determinar se o Exchange foi atualizado“, disse Sellers. “A atualização do CVE-2020-0688 precisa ser instalada em qualquer servidor com o Painel de Controle do Exchange (ECP) ativado. Normalmente, são servidores com a função CAS (Client Access Server), que é onde seus usuários acessam o Outlook Web App (OWA).