Ferramenta de detecção IOC da Microsoft para vulnerabilidades do Exchange Server

A Microsoft lançou um script atualizado que verifica os arquivos de log do Exchange em busca de indicadores de comprometimento (IOCs) associados às vulnerabilidades divulgadas em 2 de março de 2021.

Essas vulnerabilidades são críticas e afetam as versões do Exchange Server 2013, 2016 e 2019. O Exchange Server 2010 também está sendo atualizado para fins de defesa em profundidade. Até o momento, o Exchange Online não foi afetado.

Tais vulnerabilidades estão sendo exploradas como parte de uma cadeia de ataques. O ataque inicial requer a capacidade de realizar uma conexão não confiável com o servidor Exchange, porém outras partes do ataque podem ser acionadas se o invasor já tiver acesso ou obtiver acesso por outros meios. Logo, o fato de restringir conexões não confiáveis, ou configurar uma VPN, protegerão apenas contra a parte inicial do ataque, visto que a superfície de ataque é alterada e o risco é parcialmente atenuado. Por fim, somente com a atualização do patch é possível atenuar completamente o problema.

Desde que esses patches foram lançados, foram publicados vários artigos e postagens de blog ajudando os clientes a entender essas vulnerabilidades e seus padrões de exploração.

A recomendação da Microsoft é que realizem imediatamente a atualização, sendo esta ação imperativa, e que investiguem se houve comprometimento ou não em paralelo.

A fim de auxiliar as organizações e administradores, ocorreu a disponibilização de guias contendo quais etapas devem ser seguidas para proteger seus ambientes Exchange. Entretanto, as medidas são situacionais e dependem dos resultados da investigação.

O Cybersecurity and Infrastructure Security (CISA) declarou estar ciente do risco generalizado destas falhas e vulnerabilidades, tanto dentro quanto fora do país, e indicou urgência na tomada de ações para a correção do problema, considerado grave.
Abaixo encontram-se algumas recomendações do próprio CISA, Microsoft e de outros profissionais da área.

Maneiras de checar se seu sistema foi comprometido

Verifique as versões de patch do Exchange Server

A equipe do Microsoft Exchange Server publicou uma postagem no blog sobre essas novas atualizações de segurança, fornecendo um script para obter um inventário rápido do status da versão do patch de servidores Exchange locais. A postagem também responde a algumas perguntas básicas sobre a instalação desses patches.

Analise os arquivos de log do Exchange em busca de algum indicador de comprometimento

Caso você possua algum interesse em analisar com mais detalhes os arquivos de log , a equipe do Exchange Server criou um script para executar uma verificação de IOCs para tratar de questões de desempenho e memória. Esse script está disponível aqui: https://github.com/microsoft/CSS-Exchange/tree/main/Security .

Mitigações

Se por algum motivo você não puder atualizar seus servidores Exchange imediatamente, foram lançadas instruções sobre como mitigar essas vulnerabilidades por meio da reconfiguração. A Microsoft reconhece que a aplicação dos patches mais recentes aos servidores Exchange pode levar tempo e planejamento, especialmente se as organizações não estiverem usando versões recentes e / ou patches cumulativos e de segurança associados. É recomendado priorizar a instalação dos patches nos servidores Exchange que são externos primeiro, mas todos os servidores Exchange afetados devem ser atualizados com urgência. As atenuações sugeridas não substituem a instalação das atualizações e afetarão algumas funcionalidades do Exchange enquanto estiverem em vigor.

Em um de seus relatórios de inteligência cibernética, divulgado em um Tweet de 12 de março, a Microsoft confirmou que o ransomware conhecido como DearCry está sendo utilizado no ataque a essas vulnerabilidades do Exchange. Isto pode acarretar em perda de dados sensíveis, problemas operacionais e de reputação nas organizações.

fonte: https://seginfo.com.br/