Microsoft afferma che gli hacker cinesi sono responsabili degli attacchi di scambio

Microsoft afirma que hackers chineses são responsáveis ​​por ataques ao Exchange

A Microsoft fez um aviso para seus clientes na terça-feira e está denunciando os malfeitores com ousadia. De acordo com a Microsoft, os hackers chineses estão por trás dos ataques ao Exchange. A empresa afirma que as empresas americanas foram alvo de explorações de uma falha no produto de e-mail.

Atacantes chineses exploram o Microsoft Exchange

Microsoft chamou a atenção para quatro vulnerabilidades de dia zero que foram descobertas recentemente. A empresa conectou os ataques do Exchange a patches e uma lista de indicadores de comprometimento.

Os pesquisadores da empresa rotularam o grupo de hackers como “HAFNIUM”. Eles explicaram que o grupo é um “ator altamente qualificado e sofisticado” com foco em espionagem por roubo de dados. A HAFNIUM é conhecida por perseguir várias entidades dos EUA, incluindo “pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empreiteiros de defesa, grupos de reflexão sobre políticas e ONGs”, de acordo com os pesquisadores.

Os ataques do Exchange levaram à exfiltração de dados de contas de e-mail. Os hackers conseguem entrar em um servidor Exchange aproveitando o dia zero. Eles costumam usar um shell da web e sequestrar os servidores remotamente. Isso permite que eles roubem dados de uma rede associada. A Microsoft disse que esses ataques foram lançados de servidores privados com base nos Estados Unidos.

Tom Burt, vice-presidente corporativo de segurança do cliente da Microsoft, pediu aos clientes do Exchange que atualizassem rapidamente as falhas de segurança. “Embora tenhamos trabalhado rapidamente para implantar uma atualização para os exploits HAFNIUM, sabemos que muitos atores do estado-nação e grupos criminosos irão se mover rapidamente para tirar proveito de qualquer sistema sem patch. A aplicação imediata dos patches de hoje é a melhor proteção contra esse ataque ”, disse ele.

Pesquisadores de duas firmas de segurança distintas, Volexity e Dubex, chamaram a atenção da Microsoft para os ataques ao Exchange. Os pesquisadores da Volexity encontraram evidências dos ataques em 6 de janeiro.

Dados de ataques do Microsoft Exchange

Em uma postagem do blog, os pesquisadores disseram: “Por meio de sua análise da memória do sistema, a Volexity determinou que o invasor estava explorando uma vulnerabilidade de falsificação de solicitação do lado do servidor de dia zero (SSRF) no Microsoft Exchange (CVE-2021-26855). O invasor estava usando a vulnerabilidade para roubar o conteúdo completo de várias caixas de correio do usuário. Esta vulnerabilidade pode ser explorada remotamente e não requer autenticação de nenhum tipo, nem requer nenhum conhecimento especial ou acesso a um ambiente de destino. O invasor só precisa saber o servidor que está executando o Exchange e de qual conta deseja extrair o e-mail. ”

Não associado a “SolarWinds”

A Microsoft tem conseguido isso de todos os ângulos ultimamente. Eles também estão emaranhados na bagunça SolarWinds. Mas, de acordo com a empresa, o ataque do Exchange não está conectado ao Solar Winds.

Não foi anunciado quantas empresas foram afetadas pelos ataques do Exchange. Também se acredita que HAFNIUM pode não estar agindo sozinho e que pode haver mais envolvimento. As autoridades federais foram informadas sobre os ataques ao Exchange.

Leia o aviso que a Microsoft emitiu no outono passado sobre um aumento nos ataques cibernéticos devido à pandemia.