Cibercriminosos verificados em busca de servidores Microsoft Exchange vulneráveis ​​cinco minutos após as notícias se tornarem públicas

Os cibercriminosos começaram a pesquisar na web por Exchange Servers vulneráveis ​​cinco minutos depois que o comunicado de segurança da Microsoft se tornou público, dizem os pesquisadores. De acordo com uma análise de dados de ameaças de empresas coletadas entre janeiro e março deste ano, compilados no relatório de ameaças de superfície de ataque Cortex Xpanse de 2021 da Palo Alto Networks e publicado na quarta-feira, os agentes de ameaças foram rápidos na busca de servidores maduro para explorar. Quando vulnerabilidades críticas em software amplamente adotado são tornadas públicas, isso pode desencadear uma corrida entre invasores e administradores de TI: uma para encontrar alvos adequados - especialmente quando um código de prova de conceito (PoC) está disponível ou um bug é fácil de explorar - - e a equipe de TI para realizar avaliações de risco e implementar os patches necessários. O relatório diz que, em particular, as vulnerabilidades de dia zero podem levar a varreduras do invasor em até 15 minutos após a divulgação pública. Os pesquisadores de Palo Alto dizem que os invasores "trabalharam mais rápido" no que diz respeito ao Microsoft Exchange, no entanto, e as varreduras foram detectadas em menos de cinco minutos. Em 2 de março, a Microsoft divulgou a existência de quatro vulnerabilidades de dia zero no Exchange Server. Os quatro problemas de segurança, com impacto coletivo no Exchange Server 2013, 2016 e 2019, foram explorados pelo grupo chinês de ameaças persistentes avançadas (APT) Hafnium - e outros APTs, incluindo LuckyMouse, Tick e Winnti Group, seguiram o exemplo rapidamente . A divulgação de segurança desencadeou uma onda de ataques e, três semanas depois, eles ainda estavam em andamento. Na época, pesquisadores da F-Secure disseram que servidores vulneráveis ​​estavam "sendo hackeados mais rápido do que podemos contar". É possível que a disponibilidade geral de serviços de nuvem baratos tenha ajudado não apenas os APTs, mas também grupos menores de cibercriminosos e indivíduos a tirar proveito de novas vulnerabilidades à medida que aparecem. "A computação se tornou tão barata que um possível invasor precisa gastar apenas cerca de US $ 10 para alugar a capacidade da computação em nuvem para fazer uma varredura imprecisa de toda a Internet em busca de sistemas vulneráveis", diz o relatório. "Sabemos pelo aumento de ataques bem-sucedidos que os adversários estão regularmente vencendo corridas para corrigir novas vulnerabilidades." A pesquisa também destaca o protocolo de área de trabalho remota (RDP) como a causa mais comum de fraqueza de segurança entre redes corporativas, respondendo por 32% dos problemas gerais de segurança, uma área especialmente problemática, já que muitas empresas fizeram uma rápida mudança para a nuvem no ano passado. para permitir que seus funcionários trabalhem remotamente. “Isso é preocupante porque o RDP pode fornecer acesso de administrador direto aos servidores, tornando-o um dos gateways mais comuns para ataques de ransomware”, observa o relatório. "Eles representam um fruto mais fácil para os invasores, mas há motivos para otimismo: a maioria das vulnerabilidades que descobrimos podem ser facilmente corrigidas."

Mais informações:

https://www.zdnet.com/article/cybercriminals-scanned-for-vulnerable-microsoft-exchange-servers-within-five-minutes-of-news-going-public/