Falha do Microsoft Exchange pode ter levado a mais de 30,000 organizações dos EUA sendo hackeadas

A lançamento silencioso de um patch fora da banda para uma falha no servidor Exchange da Microsoft está se transformando rapidamente em uma grande história, com relatórios confiáveis ​​de pelo menos 30,000 organizações nos EUA e possivelmente centenas de milhares em todo o mundo, sendo invadidas por um grupo de hackers chinês, que agora tem controle total dos servidores e dos dados neles .

Krebs em relatórios de segurança que um número significativo de pequenas empresas, vilas, cidades e governos locais foram infectados, com os hackers deixando para trás um shell da web para mais comando e controle.

A Microsoft disse que os ataques originais foram direcionados a uma variedade de setores da indústria, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empresas de defesa, grupos de reflexão sobre políticas e ONGs, mas Krebs observa que houve uma escalada dramática e agressiva dos ataques. taxa de infecção, enquanto os hackers tentam ficar à frente do patch lançado pela Microsoft.

“Trabalhamos em dezenas de casos até agora em que web shells foram colocados no sistema da vítima em 28 de fevereiro [antes da Microsoft anunciar seus patches], até hoje”, disse o presidente da Volexity, Steven Adair, que descobriu o ataque. “Mesmo que você tenha corrigido no mesmo dia em que a Microsoft publicou seus patches, ainda há uma grande chance de haver um web shell em seu servidor. A verdade é que, se você estiver executando o Exchange e ainda não corrigiu isso, há uma chance muito grande de que sua organização já esteja comprometida.”

Uma ferramenta está disponível no Github para identificar servidores infectados pela internet, e a lista é preocupante.

“São departamentos de polícia, hospitais, toneladas de governos municipais e estaduais e cooperativas de crédito”, disse uma fonte que está trabalhando em estreita colaboração com autoridades federais sobre o assunto. “Quase todo mundo que está executando o Outlook Web Access auto-hospedado e não foi corrigido há alguns dias foi atingido por um ataque de dia zero.”

O tamanho do ataque até agora levanta preocupações sobre a fase de remediação.

“Na ligação, muitas perguntas eram de distritos escolares ou governos locais que precisam de ajuda”, disse a fonte, falando sob condição de não serem identificados pelo nome. “Se esses números estão na casa das dezenas de milhares, como é feita a resposta a incidentes? Simplesmente não há equipes de resposta a incidentes suficientes para fazer isso rapidamente.”

“A melhor proteção é aplicar atualizações o mais rápido possível em todos os sistemas afetados”, disse um porta-voz da Microsoft em um comunicado por escrito. “Continuamos a ajudar os clientes fornecendo orientações adicionais de investigação e mitigação. Os clientes afetados devem entrar em contato com nossas equipes de suporte para obter ajuda e recursos adicionais.”

Alguns apontaram o dedo para a Microsoft por permitir que os ataques ocorram, especialmente porque seus produtos em nuvem não foram afetados.

“É uma pergunta que vale a pena fazer, qual será a recomendação da Microsoft?”, disse o especialista em segurança cibernética do governo. “Eles dirão 'Patch, mas é melhor ir para a nuvem.' Mas como eles estão protegendo seus produtos fora da nuvem? Deixando-os murchar na videira.”