Para alguns, aplicar patches e análises forenses adequadas será difícil, além disso, novos atores de ameaças agora exploram as mesmas vulnerabilidades
Em 2 de março, a Microsoft revelou uma ofensiva crítica de segurança cibernética lançada por um adversário estrangeiro contra organizações nos Estados Unidos. A empresa atribuiu os ataques avançados a um grupo de ameaças persistentes chinês que chama de Hafnium. A Microsoft anunciou rapidamente patches para as quatro vulnerabilidades anteriormente desconhecidas no Exchange Server que os agentes mal-intencionados haviam explorado.
Relatórios circularam na semana passada que os hackers comprometeram pelo menos 30.000, e provavelmente centenas de milhares, servidores Exchange não corrigidos. Como consequência, os responsáveis pela resposta a incidentes estão trabalhando 24 horas por dia para responder a esta última ameaça, que eles consideram um ataque real à infraestrutura de TI pública e governamental, ao contrário do hack SolarWinds, ainda em andamento, principalmente devido à espionagem.
A administração do novo presidente dos Estados Unidos, Joe Biden, já lutando com as consequências do enorme hack SolarWinds, que se tornou público em dezembro e foi amplamente, embora não oficialmente, atribuído a hackers russos, disse que seria necessário “toda uma resposta do governo para avaliar e resolver o impacto”.
Apesar dos avisos e dos recursos disponíveis, as vítimas do ataque do Exchange Server podem sofrer consequências por um longo período. Aqui está o porquê.
“O maior problema é que [as vulnerabilidades estavam] sendo exploradas em larga escala antes de os patches estarem disponíveis”, disse Tyler Hudak, Líder de Prática, Incident Response na TrustedSec. “Mesmo se no minuto um dos patches sendo implantados você os aplicasse, ainda há uma chance de que seu sistema pudesse ter sido comprometido. Acho que muitas pessoas têm a impressão de que ‘oh, bem, nós os corrigimos, estamos bem’, o que realmente não é o caso”.
Steven Adair, Presidente da Volexity, disse ao CSO que várias ferramentas e recursos podem ajudar as organizações a determinar se foram comprometidas. “O grande desafio então vem para essas organizações descobrirem a gravidade de uma violação, uma vez que encontrem os indicadores de ataque ou comprometimento”.
Dada a magnitude do número de servidores envolvidos, a correção das falhas é uma tarefa significativa que, sem dúvida, causará interrupções operacionais em vastas áreas do governo e da indústria. “Um desafio para algumas organizações em responder às vulnerabilidades do Exchange é que aplicar patches nos servidores Exchange pode ser demorado, especialmente se eles estiverem atrasados em patches, e pode exigir tempo de inatividade”, disse Katie Nickels, Diretora de Inteligência da empresa de inteligência contra ameaças Red Canary.
O golpe duplo da violação do SolarWinds e agora dos ataques do Exchange Server chegam em um momento em que a maioria dos profissionais de segurança cibernética trabalham mais do que em tempo integral para gerenciar o número crescente de ameaças diárias de segurança cibernética, incluindo casos de ransomware em rápido aumento. “O fato de os incidentes SolarWinds e Exchange terem acontecido com alguns meses de intervalo, no entanto, é significativo porque significa que muitas equipes de segurança cibernética estão cansadas”, disse Nickels. “Para algumas organizações, a resposta ao comprometimento da SolarWinds ainda pode ser contínua e agora as equipes são atingidas com a possibilidade de responder aos comprometimentos do Exchange”.
Mesmo depois que os patches da Microsoft são implementados, “você ainda precisa entrar e procurar esses indicadores de comprometimento em seus servidores Exchange para ver se eles foram comprometidos”, diz Hudak. “O que vimos em nossas investigações é que mesmo antes de o patch ser aplicado, se um servidor foi comprometido, provavelmente houve um upload de backdoor para o servidor. O patch não impedirá o backdoor de ser acessado. O backdoor está completamente separado da vulnerabilidade”.
Nickels concorda. “A instalação desses patches não permitirá que você saiba se já foi comprometido, muito menos remediar uma invasão ativa. Se as equipes de segurança puderem obter visibilidade da linha de processo e dos parâmetros de linha de comando associados ao processo de trabalho do Windows IIS [Internet Information Services], então eles poderão procurar ou criar detecção para esta e outras atividades do shell da web do Exchange”.
A correção é possível, mas para algumas organizações, o processo pode ser mais complicado. “Neste ponto, a maioria das organizações provavelmente viu um ou mais ataques que colocaram um shell da web em seus servidores Exchange”, diz Adair, da Volexity. “No entanto, há uma boa chance de os invasores não acessarem os shells da web e as violações são bastante limitadas e podem ser corrigidas com bastante facilidade.
“Ao mesmo tempo, um conjunto menor de organizações teve invasores acessando shells da web, despejando credenciais, movendo-se lateralmente e começando a tomar outras medidas para ir além de seus servidores Exchange. É aqui que a correção fica muito mais complicada e pode envolver qualquer coisa, desde a remoção de alguns arquivos e atualização de um punhado de senhas para reconstruir vários servidores e redefinir todas as senhas na organização”.
Adicionando ainda mais insulto à injúria é que outros atores da ameaça estão se acumulando nas vulnerabilidades exploradas pela primeira vez pelo Hafnium. Hudak diz que por volta de 5 de março, ele começou a ver outros grupos, além dos hackers chineses, explorando as vulnerabilidades do Exchange. “Sabemos que existe um grupo diferente porque eles usavam um backdoor diferente dos atacantes anteriores. Eles usavam nomes de backdoor diferentes. Existem outros grupos que estão descobrindo como explorar essa cadeia de vulnerabilidades”.
O caminho para a correção e a remediação pode se tornar exponencialmente mais problemático se alguém publicar o código de prova de conceito para os ataques, o que Hudak espera que aconteça esta semana. “Assim que isso acontecer, todo mundo vai ter e todos vão poder explorar”, diz ele.
Além de corrigir e procurar backdoors, os responsáveis pela resposta a incidentes devem fazer cópias de quaisquer backdoors que encontrarem antes de excluí-los, porque as empresas forenses vão querer examiná-los, aconselha Hudak.
“Assegurar-se de salvar as evidências pode ser fundamental”, diz Adair. “Por exemplo, em vez de desligar uma máquina virtual e excluí-la, recomendamos tirar um instantâneo (com memória) e salvar uma cópia do sistema em seu estado comprometido”.
Infelizmente, a maioria das organizações não tem capacidade ou conhecimento forense para entrar lá e descobrir o que os invasores fizeram com o backdoor, afirma Hudak. “Muitas empresas de pequeno e médio porte podem carecer de experiência para conduzir uma investigação completa, caso ocorram atividades adversas significativas”, diz Nickels.
Outra tarefa de segurança cibernética potencialmente complicada é retornar todos os sistemas afetados ao seu último estado bom conhecido, o que significa restaurar tudo de um backup antes que o sistema ou sistemas sejam comprometidos. “Não importa o quão bom seja seu analista forense, sempre há uma chance de que ele possa perder algo, ou o invasor pode ter excluído algo. Reverter para aquele bom backup conhecido garantirá que não haja nada lá agora”, diz Hudak.
No mínimo, todas as organizações que usam um servidor Exchange devem aplicar patches imediatamente, mesmo que as circunstâncias tornem a aplicação de patches difícil. É fácil dizer às organizações para fazerem o patch, mas especialmente se elas estiverem atrasadas nas atualizações do Exchange, este pode não ser um processo simples”, diz Nickels. Ainda assim, qualquer organização que execute seu próprio servidor Exchange deve priorizar a correção imediata. Quanto mais tempo um servidor sem patch ficar conectado à Internet, maior será o risco de ser comprometido”.
