No mais recente caso relacionado à segurança da Microsoft, a empresa precisou alertar seus clientes por meio de um comunicado divulgado nesta terça-feira (2), em que hackers chineses patrocinados pelo estado, exploraram falhas no sistema do seu serviço Exchance, um de seus principais produtos direcionados para emails corporativos, com a finalidade de atingir empresas americanas no intuito de roubar seus dados.

Em várias postagens publicadas em seu blog, a empresa listou quatro vulnerabilidades de dia zero, recentemente descobertas e associadas aos ataques, bem como patches e uma lista de indicadores de comprometimento. Os usuários do Exchange foram aconselhados a atualizar o serviço, como uma forma de evitar o hackeamento.

Os pesquisadores da Microsoft apelidaram o principal grupo por trás dos ataques de “HAFNIUM”, descrevendo-o como um “ator altamente qualificado e sofisticado”, focado na realização de espionagem por meio do roubo de dados. Em campanhas anteriores, o HAFNIUM foi conhecido por atingir uma ampla variedade de entidades em todos os EUA, incluindo “pesquisadores de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, empreiteiros de defesa, think tanks de políticas e ONGs”, disseram eles.

No caso do Exchange, esses ataques significaram um vazamento de dados de contas de emails, uma vez que o programa funciona com clientes de serviços como o Microsoft Office, sincronizando atualizações para dispositivos e computadores, e é muito usado por empresas, universidades e outras grandes organizações.

Assine a newsletter do Gizmodo

Os ataques ao produto se desenrolaram assim: os hackers aproveitaram o dia zero para obter acesso a um servidor do Exchange, com a possibilidade de terem usado credenciais comprometidas para efetivar tal feito. Em seguida, eles implantaram um web shell (um script malicioso), sequestrando o servidor remotamente. Assim, eles conseguem roubar dados de uma rede associada, incluindo trechos inteiros de emails. De acordo com a Microsoft, os ataques foram conduzidos a partir de servidores privados com base nos EUA.

O vice-presidente corporativo de segurança do cliente da Microsoft, Tom Burt, disse que os clientes devem trabalhar rapidamente para atualizar as falhas de segurança associadas:

Embora tenhamos trabalhado rapidamente para implantar uma atualização para os exploits do Hafnium, sabemos que muitos atores do estado-nação e grupos criminosos irão se mover rapidamente para tirar proveito de qualquer sistema sem patch. A aplicação imediata dos patches de hoje é a melhor proteção contra esse ataque.

Originalmente, a situação chamou a atenção da Microsoft graças a pesquisadores de duas empresas de segurança: Volexity e Dubex. Segundo com o site KrebsOnSecurity, a Volexity encontrou inicialmente evidências das campanhas de intrusão em 6 de janeiro. Em uma postagem feita na terça-feira, os pesquisadores da Volexity ajudaram a quebrar a aparência da atividade maliciosa em um caso específico:

Por meio de sua análise da memória do sistema, a Volexity determinou que o invasor estava explorando uma vulnerabilidade de falsificação de solicitação do lado do servidor de dia zero (SSRF) no Microsoft Exchange (CVE-2021-26855). O invasor estava usando a vulnerabilidade para roubar o conteúdo completo de várias caixas de emails do usuário. Esta vulnerabilidade pode ser explorada remotamente e não requer autenticação de nenhum tipo, nem requer nenhum conhecimento especial ou acesso a um ambiente de destino. O invasor só precisa saber o servidor que está executando o Exchange e de qual conta deseja extrair o email.

Essas campanhas recentes de hackers, que a Microsoft disse serem “limitadas e direcionadas” por natureza, não estão associadas aos recentes ataques da SolarWinds, nos quais a gigante da tecnologia também está envolvida. A empresa não disse quantas organizações foram atacadas ou obtiveram estragos pela campanha, embora outros atores de ameaças além do HAFNIUM também possam estar envolvidos. A Microsoft diz que informou as autoridades federais sobre os incidentes.