A sequência de eventos do ataque ao Microsoft Exchange

Foram apresentadas quatro vulnerabilidades críticas de Zero Day com impacto em várias versões do Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE- 2021-27065). Paralelamente à revelação destas vulnerabilidades, a Microsoft publicou atualizações de segurança e orientações técnicas que sublinhavam a importância de corrigir imediatamente este problema, ao mesmo tempo que notavam que a exploração se encontrava ativa e a ser executada numa Ameaça Persistente Avançada (APT) a que chamavam HAFNIUM.

Desde esses ataques iniciais, a Unit42 da Palo Alto Networks começou a ver várias outras entidades e hackers a explorar estas vulnerabilidades de Zero Day na Internet. Tanto as vulnerabilidades em si como o acesso indevido às infraestruturas tornam este ataque como um dos mais significativos de 2021.

Não é de estranhar que vários atacantes tenham procurado e continuem a procurar comprometer sistemas vulneráveis antes de serem corrigidos pelos administradores da rede. Isto tem vindo a acontecer a uma escala sem precedentes – a partir de 8 de março. Com base na telemetria recolhida da plataforma Palo Alto Networks Expanse, estimávamos que permaneciam mais de 125 mil Servidores de Exchange que continuavam vulneráveis no mundo. Em Portugal ajudámos e alertámos vários clientes que as suas infraestruturas estavam vulneráveis e estivemos envolvidos na resolução de infraestruturas comprometidas.

Vamos então recriar uma linha temporal reconstruída que vamos mostrar, e neste momento já é claro que havia pelo menos 58 dias entre a primeira exploração conhecida desta vulnerabilidade em 3 de janeiro e quando a Microsoft lançou o patch a 2 de março. Aplicar o patch é um primeiro passo necessário, mas insuficiente dado o tempo que a exploração esteve na Internet.

Dada a importância deste evento, julgamos importante publicar uma cronologia do ataque com base na extensa pesquisa sobre as informações atualmente disponíveis e a nossa experiência direta em defesa destes ataques.

Resumo da linha temporal do ataque

Esta história começa há mais de seis meses quando a DevCore, uma empresa de consultoria de segurança com sede em Taiwan, iniciou um projeto para explorar a segurança dos produtos do Microsoft Exchange Server. Na janela de dois meses entre outubro e dezembro de 2020, os investigadores da DevCore fizeram progressos consideráveis que acabaram por levar à descoberta de uma vulnerabilidade de proxy pré-autenticação em 10 de dezembro de 2020. A esta vulnerabilidade foi dado o nome ProxyLogon por DevCore e é agora conhecida publicamente como CVE-2021-26855.

Após esta descoberta inicial, em 27 de dezembro de 2020, os investigadores do DevCore demonstraram que esta vulnerabilidade poderia ser alavancada para realizar um bypass de autenticação, concedendo assim aos seus utilizadores permissões de nível de administrador em servidores de Exchange vulneráveis. Pouco depois desta descoberta, a 30 de dezembro de 2020, a DevCore também descobriu um segundo bug de escrita de ficheiros pós-autenticação que poderia ser ligado juntamente com a primeira vulnerabilidade para obter acesso privilegiado aos Servidores de Exchange e escrever ficheiros da escolha de um intruso para qualquer diretório. Esta segunda vulnerabilidade é agora conhecida publicamente como CVE-2021-27065.

Dada a época do ano e a existência de um longo fim de semana de férias de Ano Novo, a DevCore contactou e notificou a Microsoft das vulnerabilidades na terça-feira seguinte (5 de janeiro de 2021).

Nessa altura, os ataques já começavam a aparecer na Internet. A Volexity, uma empresa de segurança norte-americana, relatou ataques envolvendo a vulnerabilidade ProxyLogon já no dia 3 de janeiro. Em 2 de fevereiro, a empresa também comunicou à Microsoft informações sobre ataques ocorridos a 6 de janeiro.

Simultaneamente, acredita-se agora que a Dubex, uma empresa de segurança com sede na Dinamarca, notou pela primeira vez a exploração ativa do Microsoft Exchange UMWorkerProcess em 18 de janeiro de 2021. Esta vulnerabilidade é agora conhecida como CVE-2021-26857. Foi usada por um adversário para instalar webshells em servidores vulneráveis consistentes com os ataques notados pela Volexity. Foi noticiado que Dubex notificou a Microsoft das suas descobertas em 27 de janeiro, menos de 10 dias após a descoberta inicial.

Com dois fornecedores de cibersegurança a fornecerem provas de exploração ativa, a DevCore acompanhou a Microsoft em 18 de fevereiro de 2021. Durante a troca, a DevCore forneceu um rascunho de aviso consultivo e solicitou detalhes sobre o cronograma de lançamento do patch. Na altura, a Microsoft partilhou que planeava lançar os patches no dia 9 de março.

Em 27 de fevereiro de 2021, a Microsoft notificou a DevCore de que estavam quase prontos para lançar os patches de segurança. Nesse mesmo dia, a comunidade de cibersegurança observou um aumento na atividade incomum de webshell, e nos dois dias seguintes, evidências sugerem que vários grupos de ameaças iniciaram atividades de exploração ativa.

Em 2 de março de 2021, uma semana antes do inicialmente previsto, a Microsoft publicou atualizações de segurança para as quatro vulnerabilidades. Ao fazê-lo, alertaram também para a exploração ativa destas vulnerabilidades por um grupo a que chamaram HAFNIUM e ainda descrito como um APT patrocinado pelo Estado que opera a partir da China.

Nos dias seguintes à publicação dos CVE, as comunidades de cibersegurança testemunharam uma onda de ataques à medida que atores maliciosos procuravam capitalizar as vulnerabilidades antes que os defensores da rede implementassem patches. Durante aquela semana de março, identificámos o surgimento de várias novas senhas de webshell e aglomerados de atividade que mostravam a quantidade gigante de vítimas comprometidas.

Conteúdo co-produzido pela MediaNext e pela Palo Alto