Alerta de Vulnerabilidades - Microsoft Exchange Server
A Microsoft publicou um conjunto de atualizações de segurança referentes a vulnerabilidades (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065) que afetam o Microsoft Exchange Server versões 2010, 2013, 2016 e 2019 "on-premises". De referir que as versões Exchange Online (ex: Microsoft 365) não são afetadas por estas vulnerabilidades.[1][2][3]
ATUALIZAÇÃO (12-03-2021):
Foram identificados casos de aproveitamento desta vulnerabilidade para instalação de um ransomware (DEARCRY). Este ransomware cifra os ficheiros presentes no servidor exchange e exige um pagamento para recuperar o acesso aos mesmos, ficando os utilizadores sem acesso aos emails presentes no servidor.[8]
Caso estas vulnerabilidades sejam exploradas com sucesso, permite ao atacante o acesso a contas de e-mail e exfiltrar toda a informação.
Adicionalmente também permite ao atacante a execução de código remotamente ou a instalação de código malicioso.[1]
É recomendado aos utilizadores atualizar os sistemas "on-premises" para as seguintes versões:[4]
- Exchange Server 2010 (Release Update 31 for Service Pack 3)
- Exchange Server 2013 (Cumulative Update 23)
- Exchange Server 2016 (Cumulative Update 19, Cumulative Update 18)
- Exchange Server 2019 (Cumulative Update 8, Cumulative Update 7)
ATUALIZAÇÃO (08-03-2021):
É recomendado que os utilizadores atualizem os sistemas "on-premises" para as versões mais recentes, no entanto na impossibilidade de poder aplicar imediatamente estas atualizações, a Microsoft disponibilizou um conjunto de medidas de mitigação alternativas, descritas em [6].
De relembrar que a aplicação destas medidas alternativas devem ser consideradas de carácter temporário até à possibilidade de poder aplicar as atualizações para os sistemas Exchange (que recomendamos que seja o mais brevemente possível).
É aconselhado a que seja verificada a presença de Indicadores de Compromisso disponibilizados em [1], [2] e [7], bem como a identificação de possíveis webshells que possam ter sido criadas [5].
[1] https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
[2] https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-vulnerabilities/
[3] https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day-bugs-patch-now/
[4] https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
[5] https://github.com/cert-lv/exchange_webshell_detection
[6] https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
[7] https://github.com/microsoft/CSS-Exchange/tree/main/Security
[8] https://www.bleepingcomputer.com/news/security/ransomware-now-attacks-microsoft-exchange-servers-with-proxylogon-exploits/