2021 violação de dados do Microsoft Exchange Server - 2021 Microsoft Exchange Server data breach
| Encontro |
|
|---|---|
| Localização | Global |
| Modelo | Ataque cibernético , violação de dados |
| Causa | Vulnerabilidades de dia zero do Microsoft Exchange Server |
| Primeiro repórter | Microsoft (divulgação pública) |
| Suspeitos | Hafnium e pelo menos nove outros. |
Uma onda global de ataques cibernéticos e violações de dados começou em janeiro de 2021 depois que quatro explorações de dia zero foram descobertas em servidores Microsoft Exchange locais , dando aos invasores acesso total a e-mails e senhas de usuários em servidores afetados, privilégios de administrador no servidor e acesso a dispositivos conectados na mesma rede. Os invasores normalmente instalam um backdoor que permite ao invasor acesso total aos servidores afetados, mesmo se o servidor for atualizado posteriormente para não ficar mais vulnerável aos exploits originais. Em 9 de março de 2021, estimou-se que 250.000 servidores foram vítimas dos ataques, incluindo servidores pertencentes a cerca de 30.000 organizações nos Estados Unidos, 7.000 servidores no Reino Unido, bem como a Autoridade Bancária Europeia , o Parlamento norueguês e Comissão do Mercado Financeiro do Chile (CMF).
Em 2 de março de 2021, a Microsoft lançou atualizações para o Microsoft Exchange Server 2010, 2013, 2016 e 2019 para corrigir a exploração; isso não desfaz retroativamente os danos ou remove quaisquer backdoors instalados pelos atacantes. Empresas de pequeno e médio porte, instituições locais e governos locais são conhecidos como as principais vítimas do ataque, pois costumam ter orçamentos menores para se proteger contra ameaças cibernéticas e, normalmente, terceirizar serviços de TI para provedores locais que não têm experiência para lidar com eles ataques cibernéticos.
Em 12 de março de 2021, a Microsoft anunciou a descoberta de "uma nova família de ransomware " sendo implantada em servidores inicialmente infectados, criptografando todos os arquivos, tornando o servidor inoperante e exigindo pagamento para reverter o dano. Em 22 de março de 2021, a Microsoft anunciou que em 92% dos servidores Exchange a exploração foi corrigida ou atenuada.
Fundo
O Microsoft Exchange é considerado um alvo de alto valor para hackers que procuram penetrar em redes empresariais, pois é um software de servidor de e-mail e, de acordo com a Microsoft, fornece "um ambiente único que pode permitir que invasores executem várias tarefas usando o mesmo software integrado ferramentas ou scripts que os administradores usam para manutenção. " No passado, o Microsoft Exchange foi atacado por vários grupos de estados-nação.
Em 5 de janeiro de 2021, a empresa de testes de segurança DEVCORE fez o primeiro relatório conhecido sobre a vulnerabilidade da Microsoft, que a Microsoft verificou em 8 de janeiro. A primeira violação de uma instância do Microsoft Exchange Server foi observada pela empresa de segurança cibernética Volexity em 6 de janeiro de 2021. No final de janeiro, a Volexity observou uma violação permitindo que invasores espionassem dois de seus clientes e alertou a Microsoft sobre a vulnerabilidade. Depois que a Microsoft foi alertada sobre a violação, a Volexity observou que os hackers se tornaram menos furtivos na expectativa de um patch.
Em 2 de março de 2021, outra empresa de segurança cibernética, a ESET , escreveu que estava observando vários invasores além do Hafnium explorando as vulnerabilidades. A Wired relatou em 10 de março que agora que a vulnerabilidade foi corrigida, muitos mais invasores irão fazer a engenharia reversa da correção para explorar servidores ainda vulneráveis. Analistas de duas empresas de segurança relataram que começaram a ver evidências de que os invasores estavam se preparando para executar software de criptominação nos servidores.
Em 10 de março de 2021, o pesquisador de segurança Nguyen Jang postou um código de prova de conceito no GitHub de propriedade da Microsoft sobre como a exploração funciona, totalizando 169 linhas de código; o programa foi escrito intencionalmente com erros para que, embora os pesquisadores de segurança pudessem entender como a exploração funciona, os agentes mal-intencionados não seriam capazes de usar o código para acessar os servidores. Mais tarde naquele dia, o GitHub removeu o código, pois ele "contém um código de prova de conceito para uma vulnerabilidade recentemente divulgada que está sendo ativamente explorada". Em 13 de março, outro grupo publicou de forma independente o código de exploração, com esse código exigindo modificações mínimas para funcionar; Will Dormann, do Centro de Coordenação do CERT, disse que "a façanha está completamente fora da bolsa agora" em resposta.
Os ataques ocorreram logo após a violação de dados do governo federal dos Estados Unidos em 2020 , que também comprometeu o aplicativo da web Outlook da Microsoft e a cadeia de suprimentos . A Microsoft disse que não houve conexão entre os dois incidentes.
Autor
A Microsoft disse que o ataque foi inicialmente perpetrado pelo Hafnium , um grupo de hackers patrocinado pelo estado chinês ( ameaça persistente avançada ) que opera fora da China. Hafnium é conhecido por instalar o web shell China Chopper . A Microsoft identificou Hafnium como "um ator altamente qualificado e sofisticado" que, historicamente, tem como alvo principal "entidades nos Estados Unidos com o objetivo de extrair informações de vários setores da indústria, incluindo pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empreiteiros de defesa , grupos de reflexão sobre políticas e ONGs. " Ao anunciar o hack, a Microsoft afirmou que esta foi "a oitava vez nos últimos 12 meses que a Microsoft divulgou publicamente grupos de estados-nação visando instituições essenciais para a sociedade civil". Em 12 de março de 2021, havia, além do Hafnium, pelo menos nove outros grupos distintos explorando as vulnerabilidades, cada um com estilos e procedimentos diferentes.
O governo chinês negou envolvimento, chamando as acusações de "infundadas".
Em uma declaração conjunta de 19 de julho de 2021, os EUA , Reino Unido , UE , OTAN e outras nações ocidentais acusaram o Ministério de Segurança do Estado (MSS) de perpetrar a violação do Exchange, juntamente com outros ataques cibernéticos, "atribuindo com um alto grau de confiança que ciberatores maliciosos afiliados ao MSS da PRC conduziram operações de espionagem cibernética utilizando as vulnerabilidades de dia zero no Microsoft Exchange Server divulgadas no início de março de 2021. "
Metodologia
Os hackers aproveitaram-se de quatro vulnerabilidades de dia zero separadas para comprometer o Outlook Web Access (OWA) dos servidores Microsoft Exchange , dando-lhes acesso a servidores e redes inteiras das vítimas, bem como a e-mails e convites de calendário, exigindo apenas o endereço do servidor, que pode ser direcionado diretamente ou obtido por varredura em massa de servidores vulneráveis; o invasor então usa duas explorações, a primeira permitindo que um invasor se conecte ao servidor e se autentique falsamente como um usuário padrão. Com isso, uma segunda vulnerabilidade pode ser explorada, escalando o acesso do usuário aos privilégios de administrador . As duas últimas explorações permitem que os invasores carreguem o código para o servidor em qualquer local que desejarem, que é executado automaticamente com esses privilégios de administrador. Em seguida, os invasores normalmente usam isso para instalar um shell da web , fornecendo um backdoor ao servidor comprometido, o que dá aos hackers acesso contínuo ao servidor, desde que o shell da web permaneça ativo e o servidor Exchange ligado.
Por meio do shell da web instalado por invasores, os comandos podem ser executados remotamente. Entre as ações observadas estão o download de todos os e-mails dos servidores, o download das senhas e endereços de e-mail dos usuários já que o Microsoft Exchange armazena esses não criptografados na memória , adicionando usuários, adicionando mais backdoors aos sistemas afetados, acessando outros sistemas na rede que são inaceitáveis para a exploração original e a instalação de ransomware . Como corrigir o servidor Exchange contra a exploração não remove retroativamente os backdoors instalados, os invasores continuam a ter acesso ao servidor até que o shell da web, outros backdoors e contas de usuário adicionados pelos invasores sejam removidos.
Em 27 e 28 de fevereiro de 2021, ocorreu um ataque automatizado, e em 2 e 3 de março de 2021, os invasores usaram um script para retornar aos endereços para soltar um shell da web para permitir que eles retornassem mais tarde. Referindo-se à semana que terminou em 7 de março, o co-fundador do CrowdStrike , Dmitri Alperovitch, afirmou: "Todas as possíveis vítimas que não foram corrigidas até o final da semana passada já foram atingidas por pelo menos um ou vários atores". Depois que o patch foi anunciado, as táticas mudaram ao usar a mesma cadeia de vulnerabilidades.
As versões do Microsoft Exchange Server de 2010, 2013, 2016 e 2019 foram confirmadas como suscetíveis, embora as edições vulneráveis ainda não tenham sido totalmente determinadas. Os serviços baseados em nuvem do Exchange Online e do Office 365 não são afetados.
Impacto
Os hackers exploraram as vulnerabilidades para espionar uma ampla gama de alvos, afetando cerca de 250.000 servidores. Tom Burt, vice-presidente de Segurança e Confiança do Cliente da Microsoft, escreveu que os alvos incluíam pesquisadores de doenças, escritórios de advocacia, universidades, empreiteiros de defesa, organizações não governamentais e grupos de reflexão .
As atualizações automáticas são normalmente desabilitadas pelos administradores do servidor para evitar interrupções devido ao tempo de inatividade e problemas no software e, por convenção, são instaladas manualmente pelos administradores do servidor após essas atualizações serem testadas com o software existente e a configuração do servidor; como as organizações menores geralmente operam com um orçamento menor para fazer isso internamente ou de outra forma terceirizar para provedores de TI locais sem experiência em segurança cibernética, isso geralmente não é feito até que se torne uma necessidade, ou nunca. Isso significa que pequenas e médias empresas e instituições locais, como escolas e governos locais, são conhecidas como as principais vítimas do ataque, pois é mais provável que não tenham recebido atualizações para corrigir a exploração. Observa-se que as vítimas rurais estão "em grande parte por conta própria", visto que normalmente não têm acesso a provedores de serviços de TI. Em 11 de março de 2021, a Check Point Research revelou que nas 24 horas anteriores "o número de tentativas de exploração em organizações que rastreia triplicou a cada duas ou três horas".
A Check Point Research observou que os Estados Unidos são o país mais atacado com 17% de todas as tentativas de exploração, seguido pela Alemanha com 6%, Reino Unido e Holanda com 5% e Rússia com 4% de todas as explorações; governo / militar é o setor mais visado com 23% das tentativas de exploração, seguido por manufatura com 15%, serviços bancários e financeiros com 14%, fornecedores de software com 7% e saúde com 6%.
O ataque foi descoberto depois que os invasores foram descobertos baixando todos os emails pertencentes a usuários específicos em servidores Exchange corporativos separados. Um think tank não divulgado de Washington relatou que invasores enviaram e-mails convincentes a contatos em um ataque de engenharia social que incentivou os destinatários a clicar em um link. Em 11 de março de 2021, o parlamento da Noruega, o Storting , relatou ter sido vítima do hack, afirmando que "dados foram extraídos".
A Autoridade Bancária Europeia informou ainda ter sido alvo do ataque, tendo posteriormente afirmado num comunicado de imprensa que o âmbito do impacto nos seus sistemas era "limitado" e que "a confidencialidade dos sistemas e dados da EBA não foi comprometida".
A empresa de segurança ESET identificou "pelo menos 10" grupos de ameaças persistentes avançadas que comprometem TI, segurança cibernética, energia, desenvolvimento de software, serviços públicos , imóveis, telecomunicações e empresas de engenharia, bem como agências governamentais do Oriente Médio e da América do Sul. Um grupo APT foi identificado implantando downloaders do PowerShell , usando servidores afetados para mineração de criptomoeda. O CEO da Cybereason , Lior Div, observou que o grupo APT Hafnium "tinha como alvo pequenas e médias empresas ... O ataque contra o Microsoft Exchange é 1.000 vezes mais devastador do que o ataque SolarWinds ."
Em 12 de março de 2021, a Microsoft Security Intelligence anunciou "uma nova família de ransomware " chamada DearCry sendo implantada nos servidores que foram inicialmente infectados, criptografando o conteúdo do dispositivo, tornando os servidores inutilizáveis e exigindo pagamento para recuperar arquivos. A Microsoft declarou: "Não há garantia de que o pagamento do resgate dará a você acesso aos seus arquivos."
Em 18 de Março de 2021, uma afiliada da cybergang ransomware Revil alegaram que havia roubado dados não criptografados de Taiwan hardware e Electronics Corporation Acer , incluindo um número não revelado de dispositivos sendo criptografados, com a empresa de segurança cibernética avançada Intel ligando esta violação de dados e ataque ransomware para o Microsoft Exchange façanhas. A Advanced Intel detectou um dos servidores Microsoft Exchange da Acer sendo alvejado pela primeira vez em 5 de março de 2021. REvil exigiu um resgate de US $ 50 milhões , alegando que se fosse pago, eles "forneceriam um descriptografador, um relatório de vulnerabilidade e a exclusão de arquivos roubados" , e declarando que o resgate dobraria para US $ 100 milhões se não fosse pago em 28 de março de 2021.
Respostas
Em 2 de março de 2021, o Microsoft Security Response Center (MSRC) publicou publicamente um lançamento de Vulnerabilidades e Exposições Comuns (CVE) fora da banda , instando seus clientes a corrigirem seus servidores Exchange para resolver uma série de vulnerabilidades críticas . Em 15 de março, a Microsoft lançou uma ferramenta PowerShell de um clique , The Exchange On-Premises Mitigation Tool, que instala as atualizações específicas que protegem contra a ameaça, executa uma verificação de malware que também detecta shells da web instalados e remove as ameaças que foram detectadas; isso é recomendado como uma medida de mitigação temporária, pois não instala outras atualizações disponíveis.
Em 3 de março de 2021, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiu uma diretiva de emergência forçando as redes governamentais a atualizarem para uma versão corrigida do Exchange. Em 8 de março, a CISA tuitou o que a NBC News descreveu como uma "mensagem incomumente franca" instando "TODAS as organizações em TODOS os setores" para lidar com as vulnerabilidades.
Outros órgãos oficiais que expressaram preocupações incluem a Casa Branca , a Autoridade de Segurança Nacional da Noruega e o Escritório de Segurança Cibernética e de Informação da República Tcheca. Em 7 de março de 2021, a CNN informou que se esperava que a administração Biden formasse uma força-tarefa para lidar com a violação; a administração Biden convidou organizações do setor privado para participar da força-tarefa e fornecerá as informações classificadas que julgar necessárias. O Conselheiro de Segurança Nacional dos EUA, Jake Sullivan, afirmou que os EUA ainda não estão em posição de atribuir a culpa pelos ataques.
Em julho de 2021, o governo Biden, junto com uma coalizão de aliados ocidentais, culpou formalmente a China pelo ataque cibernético. O governo destacou a ameaça contínua de hackers chineses, mas não acompanhou a condenação com qualquer forma de sanção. De acordo com o secretário de imprensa da Casa Branca, Jen Psaki , o governo não descarta consequências futuras para a China.