Cibercriminosos verificados em busca de servidores Microsoft Exchange vulneráveis cinco minutos após as notícias se tornarem públicas

maio 19, 2021

Cibercriminosos verificados em busca de servidores Microsoft Exchange vulneráveis cinco minutos após as notícias se tornarem públicas

Os cibercriminosos começaram a pesquisar na web por Exchange Servers vulneráveis cinco minutos depois que o comunicado de segurança da Microsoft se tornou público, dizem os pesquisadores. De acordo com uma análise de dados de ameaças de empresas coletadas entre janeiro e março deste ano, compilados no relatório de ameaças de superfície de ataque Cortex Xpanse de 2021 da Palo Alto Networks e publicado na quarta-feira, os agentes de ameaças foram rápidos na busca de servidores maduro para explorar. Quando vulnerabilidades críticas em software amplamente adotado são tornadas públicas, isso pode desencadear uma corrida entre invasores e administradores de TI: uma para encontrar alvos adequados - especialmente quando um código de prova de conceito (PoC) está disponível ou um bug é fácil de explorar - - e a equipe de TI para realizar avaliações de risco e implementar os patches necessários. O relatório diz que, em particular, as vulnerabilidades de dia zero podem levar a varreduras do invasor em até 15 minutos após a divulgação pública. Os pesquisadores de Palo Alto dizem que os invasores "trabalharam mais rápido" no que diz respeito ao Microsoft Exchange, no entanto, e as varreduras foram detectadas em menos de cinco minutos. Em 2 de março, a Microsoft divulgou a existência de quatro vulnerabilidades de dia zero no Exchange Server. Os quatro problemas de segurança, com impacto coletivo no Exchange Server 2013, 2016 e 2019, foram explorados pelo grupo chinês de ameaças persistentes avançadas (APT) Hafnium - e outros APTs, incluindo LuckyMouse, Tick e Winnti Group, seguiram o exemplo rapidamente . A divulgação de segurança desencadeou uma onda de ataques e, três semanas depois, eles ainda estavam em andamento. Na época, pesquisadores da F-Secure disseram que servidores vulneráveis estavam "sendo hackeados mais rápido do que podemos contar". É possível que a disponibilidade geral de serviços de nuvem baratos tenha ajudado não apenas os APTs, mas também grupos menores de cibercriminosos e indivíduos a tirar proveito de novas vulnerabilidades à medida que aparecem. "A computação se tornou tão barata que um possível invasor precisa gastar apenas cerca de US $ 10 para alugar a capacidade da computação em nuvem para fazer uma varredura imprecisa de toda a Internet em busca de sistemas vulneráveis", diz o relatório. "Sabemos pelo aumento de ataques bem-sucedidos que os adversários estão regularmente vencendo corridas para corrigir novas vulnerabilidades." A pesquisa também destaca o protocolo de área de trabalho remota (RDP) como a causa mais comum de fraqueza de segurança entre redes corporativas, respondendo por 32% dos problemas gerais de segurança, uma área especialmente problemática, já que muitas empresas fizeram uma rápida mudança para a nuvem no ano passado. para permitir que seus funcionários trabalhem remotamente. “Isso é preocupante porque o RDP pode fornecer acesso de administrador direto aos servidores, tornando-o um dos gateways mais comuns para ataques de ransomware”, observa o relatório. "Eles representam um fruto mais fácil para os invasores, mas há motivos para otimismo: a maioria das vulnerabilidades que descobrimos podem ser facilmente corrigidas."
Mais informações:	https://www.zdnet.com/article/cybercriminals-scanned-for-vulnerable-microsoft-exchange-servers-within-five-minutes-of-news-going-public/

Os cibercriminosos começaram a pesquisar na web por Exchange Servers vulneráveis cinco minutos depois que o comunicado de segurança da Microsoft se tornou público, dizem os pesquisadores.

De acordo com uma análise de dados de ameaças de empresas coletadas entre janeiro e março deste ano, compilados no relatório de ameaças de superfície de ataque Cortex Xpanse de 2021 da Palo Alto Networks e publicado na quarta-feira, os agentes de ameaças foram rápidos na busca de servidores maduro para explorar.

Quando vulnerabilidades críticas em software amplamente adotado são tornadas públicas, isso pode desencadear uma corrida entre invasores e administradores de TI: uma para encontrar alvos adequados - especialmente quando um código de prova de conceito (PoC) está disponível ou um bug é fácil de explorar - - e a equipe de TI para realizar avaliações de risco e implementar os patches necessários.

O relatório diz que, em particular, as vulnerabilidades de dia zero podem levar a varreduras do invasor em até 15 minutos após a divulgação pública.

Os pesquisadores de Palo Alto dizem que os invasores "trabalharam mais rápido" no que diz respeito ao Microsoft Exchange, no entanto, e as varreduras foram detectadas em menos de cinco minutos.

Em 2 de março, a Microsoft divulgou a existência de quatro vulnerabilidades de dia zero no Exchange Server. Os quatro problemas de segurança, com impacto coletivo no Exchange Server 2013, 2016 e 2019, foram explorados pelo grupo chinês de ameaças persistentes avançadas (APT) Hafnium - e outros APTs, incluindo LuckyMouse, Tick e Winnti Group, seguiram o exemplo rapidamente .

A divulgação de segurança desencadeou uma onda de ataques e, três semanas depois, eles ainda estavam em andamento. Na época, pesquisadores da F-Secure disseram que servidores vulneráveis estavam "sendo hackeados mais rápido do que podemos contar".

É possível que a disponibilidade geral de serviços de nuvem baratos tenha ajudado não apenas os APTs, mas também grupos menores de cibercriminosos e indivíduos a tirar proveito de novas vulnerabilidades à medida que aparecem.

"A computação se tornou tão barata que um possível invasor precisa gastar apenas cerca de US $ 10 para alugar a capacidade da computação em nuvem para fazer uma varredura imprecisa de toda a Internet em busca de sistemas vulneráveis", diz o relatório. "Sabemos pelo aumento de ataques bem-sucedidos que os adversários estão regularmente vencendo corridas para corrigir novas vulnerabilidades."

A pesquisa também destaca o protocolo de área de trabalho remota (RDP) como a causa mais comum de fraqueza de segurança entre redes corporativas, respondendo por 32% dos problemas gerais de segurança, uma área especialmente problemática, já que muitas empresas fizeram uma rápida mudança para a nuvem no ano passado. para permitir que seus funcionários trabalhem remotamente.

“Isso é preocupante porque o RDP pode fornecer acesso de administrador direto aos servidores, tornando-o um dos gateways mais comuns para ataques de ransomware”, observa o relatório. "Eles representam um fruto mais fácil para os invasores, mas há motivos para otimismo: a maioria das vulnerabilidades que descobrimos podem ser facilmente corrigidas."

Mais informações:

https://www.zdnet.com/article/cybercriminals-scanned-for-vulnerable-microsoft-exchange-servers-within-five-minutes-of-news-going-public/

Manual de osint

Ache aqui

Open Source Intelligence Brasil

DOE AGORA Qualquer valor