{"id":17104,"date":"2021-03-10T12:52:54","date_gmt":"2021-03-10T15:52:54","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=17104"},"modified":"2021-03-10T18:56:33","modified_gmt":"2021-03-10T21:56:33","slug":"exchange-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/exchange-vulnerabilities\/17104\/","title":{"rendered":"Vulnerabilidades exploradas no Microsoft Exchange Server"},"content":{"rendered":"<p>A Microsoft lan\u00e7ou patches n\u00e3o programadas para v\u00e1rias vulnerabilidades do Exchange Server. Quatro dessas vulnerabilidades, de acordo com a empresa, j\u00e1 est\u00e3o sendo usadas em ataques direcionados, portanto, seria aconselh\u00e1vel instalar as atualiza\u00e7\u00f5es o mais r\u00e1pido poss\u00edvel.<\/p>\n<h2>Qual \u00e9 o risco?<\/h2>\n<p>As quatro vulnerabilidades mais perigosas j\u00e1 exploradas permitem que os invasores realizem um ataque em tr\u00eas est\u00e1gios. Primeiro, eles acessam um servidor Exchange, em seguida, criam um Web shell para acesso ao servidor remoto e, por \u00faltimo, usam esse acesso para roubar dados da rede da v\u00edtima. As vulnerabilidades s\u00e3o:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26855<\/a> \u2014 pode ser usada para <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/server-side-request-forgery-ssrf\/\" target=\"_blank\" rel=\"noopener\">falsifica\u00e7\u00e3o de solicita\u00e7\u00e3o backend<\/a> do servidor, levando \u00e0 execu\u00e7\u00e3o remota de c\u00f3digo;<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26857<\/a> \u2014 pode ser usada para executar c\u00f3digo arbitr\u00e1rio em nome do sistema (embora isso demande direitos de administrador ou explora\u00e7\u00e3o da vulnerabilidade anterior);<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26858<\/a> e <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-27065<\/a> \u2014 pode ser usado por um invasor para sobrescrever arquivos no servidor.<\/li>\n<\/ul>\n<p>Os cibercriminosos usam as quatro vulnerabilidades em conjunto; no entanto, de acordo com a Microsoft, em vez de um ataque inicial, eles \u00e0s vezes usam credenciais roubadas e as autenticam no servidor sem usar a vulnerabilidade CVE-2021-26855.<\/p>\n<p>Al\u00e9m disso, a mesma patch corrige algumas outras vulnerabilidades menores no Exchange que n\u00e3o est\u00e3o (at\u00e9 onde sabemos) diretamente relacionadas a ataques direcionados ativos.<\/p>\n<h2>Quem est\u00e1 em risco?<\/h2>\n<p>A vers\u00e3o em nuvem do Exchange n\u00e3o \u00e9 afetada por essas vulnerabilidades; eles representam uma amea\u00e7a apenas para os servidores implementados na infraestrutura. Inicialmente, a Microsoft liberou <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">atualiza\u00e7\u00f5es<\/a> para o Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e uma atualiza\u00e7\u00e3o adicional de \u201cDefesa em Profundidade\u201d para o Microsoft Exchange Server 2010. No entanto, devido \u00e0 gravidade da explora\u00e7\u00e3o, eles adicionaram posteriormente <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/march-2021-exchange-server-security-updates-for-older-cumulative\/ba-p\/2192020\" target=\"_blank\" rel=\"noopener nofollow\">corre\u00e7\u00f5es<\/a> para Servidores Exchange desatualizados.<\/p>\n<p>De acordo com <a href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2021\/03\/02\/new-nation-state-cyberattacks\/\" target=\"_blank\" rel=\"noopener nofollow\">pesquisadores<\/a> da Microsoft, foram os hackers do grupo Hafnium que exploraram as vulnerabilidades para roubar informa\u00e7\u00f5es confidenciais. Seus alvos incluem empresas industriais americanas, pesquisadores de doen\u00e7as infecciosas, escrit\u00f3rios de advocacia, organiza\u00e7\u00f5es sem fins lucrativos e analistas pol\u00edticos. O n\u00famero exato de v\u00edtimas \u00e9 desconhecido, mas de acordo com fontes do <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software\/\" target=\"_blank\" rel=\"noopener nofollow\">KrebsOnSecurity<\/a>, pelo menos 30 mil organiza\u00e7\u00f5es nos EUA, incluindo pequenas empresas, administra\u00e7\u00f5es municipais e municipais e governos locais foram hackeados usando essas vulnerabilidades.<\/p>\n<p>Nossos especialistas <a href=\"https:\/\/securelist.com\/zero-day-vulnerabilities-in-microsoft-exchange-server\/101096\/\" target=\"_blank\" rel=\"noopener\">descobriram<\/a> que n\u00e3o apenas as organiza\u00e7\u00f5es americanas est\u00e3o em perigo \u2013 os cibercriminosos em todo o mundo est\u00e3o usando essas vulnerabilidades.<\/p>\n<h2>Como se proteger de ataques ao MS Exchange<\/h2>\n<ul>\n<li>Em primeiro lugar, <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">atualize<\/a> o seu Microsoft Exchange Server. Se sua empresa n\u00e3o puder realizar os procedimentos para tal, a Microsoft recomenda uma s\u00e9rie de solu\u00e7\u00f5es alternativas.<\/li>\n<li>De acordo com a Microsoft, negar o acesso n\u00e3o confi\u00e1vel ao servidor Exchange na porta 443, ou geralmente limitar as conex\u00f5es de fora da rede corporativa, pode interromper a fase inicial do ataque. Mas isso n\u00e3o ajudar\u00e1 se os invasores j\u00e1 estiverem dentro da infraestrutura ou se obtiverem um usu\u00e1rio com direitos de administrador para executar um arquivo malicioso.<\/li>\n<li>Uma solu\u00e7\u00e3o confi\u00e1vel de <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/threat-management-defense-solution?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____tmd___\" target=\"_blank\" rel=\"noopener\">Endpoint Detection and Response<\/a> (se voc\u00ea tiver especialistas internos) ou especialistas externos de servi\u00e7o de Managed Detection and Response podem detectar esse comportamento malicioso.<\/li>\n<li>Sempre tenha em mente que todo computador conectado \u00e0 Internet, seja servidor ou esta\u00e7\u00e3o de trabalho, precisa de uma <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00e3o de seguran\u00e7a de endpoint confi\u00e1vel<\/a> para prevenir invas\u00f5es e detectar proativamente o comportamento malicioso.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Invasores est\u00e3o explorando quatro vulnerabilidades perigosas no Microsoft Exchange para entrar em redes corporativas.<\/p>\n","protected":false},"author":2581,"featured_media":17105,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[331,1185,1730,22,267],"class_list":{"0":"post-17104","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-atualizacoes","11":"tag-business","12":"tag-exchange","13":"tag-microsoft","14":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exchange-vulnerabilities\/17104\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exchange-vulnerabilities\/22592\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exchange-vulnerabilities\/18085\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/exchange-vulnerabilities\/24317\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exchange-vulnerabilities\/22385\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exchange-vulnerabilities\/21250\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exchange-vulnerabilities\/24847\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exchange-vulnerabilities\/24085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exchange-vulnerabilities\/30228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exchange-vulnerabilities\/9406\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exchange-vulnerabilities\/38964\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exchange-vulnerabilities\/16505\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/exchange-vulnerabilities\/14553\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exchange-vulnerabilities\/26321\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/exchange-vulnerabilities\/30177\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/exchange-vulnerabilities\/26768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exchange-vulnerabilities\/23631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exchange-vulnerabilities\/28972\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exchange-vulnerabilities\/28781\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=17104"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17104\/revisions"}],"predecessor-version":[{"id":17107,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/17104\/revisions\/17107"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17105"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=17104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=17104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=17104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}