A Microsoft lançou patches de emergência para quatro vulnerabilidades de dia 0 encontradas no código do servidor de correio Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065).
A empresa alertou que hackers chineses do grupo Hafnium já estão explorando esses problemas. Para iniciar o ataque, os hackers só precisam obter acesso ao servidor Microsoft Exchange local na porta 443.
- CVE-2021-26855 – Vulnerabilidade SSRF que permitia enviar solicitações HTTP arbitrárias e ignorar a autenticação.
- CVE-2021-26857 – Problema de desserialização da Unificação de Mensagens. O uso desse bug deu ao hacker a capacidade de executar código com privilégios SYSTEM no servidor Exchange. Para que a exploração funcione corretamente, direitos de administrador ou outra vulnerabilidade foram necessários.
- CVE-2021-26858 – Uma vulnerabilidade de gravação arbitrária de arquivos (após autenticação com Exchange).
- CVE-2021-27065 é outra vulnerabilidade de gravação aleatória de arquivos (também após autenticação com Exchange).
Anteriormente, este grupo de hackers atacou várias organizações americanas, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empreiteiros de defesa, grupos de reflexão política e ONG.
Os mais recentes ataques de háfnio foram registrados já em 2021, e eles exploraram todas as quatro vulnerabilidades de dia zero no Exchange.
Tendo se protegido no servidor Exchange, os criminosos roubaram o conteúdo de caixas de correio e catálogos de endereços, transferindo essas informações para seu servidor remoto (na maioria das vezes, serviços de hospedagem de arquivos como o Mega eram usados para essa finalidade).
Os primeiros ataques a seus clientes’ servidores foram descobertos por especialistas da Volexity, que já se preparou seu próprio relatório nesta campanha maliciosa. A Microsoft também relata que recebeu um aviso sobre os ataques de especialistas da empresa dinamarquesa Dubex.
Junto com as vulnerabilidades listadas acima no Exchange, os desenvolvedores corrigiram três outros erros (CVE-2021-27078, CVE-2021-26854 e CVE-2021-26412) descoberto durante a investigação do incidente.
Os engenheiros da Microsoft recomendam que os administradores instalem patches o mais rápido possível, ou pelo menos porta segura 443 de possíveis ataques.
Deixe-me lembrá-lo que falei sobre o fato de que A Microsoft deixou aberto um dos servidores internos do mecanismo de busca Bing.