Na semana passada, a Microsoft anunciou que a versão local de seu produto de e-mail e calendário, o Exchange, tinha várias falhas de segurança não reveladas anteriormente. De acordo com a empresa, essas brechas foram usadas por hackers estrangeiros para invadir redes de empresas e governos dos EUA, principalmente para roubar grandes quantidades de dados.

Desde então, a grande questão que fica é: o quão ruim pode ter sido esse hack? E o que pode ter acontecido? É o que tentamos explicar nos parágrafos a seguir.

Resumindo: é muito ruim

Até o momento, quem chamou o hack como “enorme”, “astronômico” e “excepcionalmente agressivo” parece ter acertado em cheio o nível do problema. Como resultado das vulnerabilidades do Exchange, é provável que milhares de entidades sediadas nos EUA tenham backdoors implantados em seus sistemas.

Fontes anônimas próximas à investigação da Microsoft disseram à imprensa que algo em torno de 30 mil organizações americanas foram comprometidas, o que, se for comprovado verídico, supera a vulnerabilidade recente envolvendo a SolarWinds, que colocou em risco cerca de 18 mil companhias e nove agências federais dos Estados Unidos. No mundo, esse número pode ser ainda maior: uma fonte afirmou à Bloomberg que há “pelo menos 60 mil vítimas conhecidas globalmente”.

O que piora a situação é que alguns pesquisadores disseram que, desde a divulgação pública das vulnerabilidades do Exchange, parece que os ataques ao produto cresceram ainda mais. Anton Ivanov, especialista em pesquisa de ameaças da Kaspersky, declarou por e-mail ao Gizmodo US que sua equipe observou um aumento nas atividades na semana passada.

“Desde o início, prevíamos que as tentativas de explorar essas vulnerabilidades aumentariam rapidamente, e é isso o que estamos vendo agora. Até o momento, detectamos tais ataques em mais de cem países, essencialmente em todas as partes do mundo. Mesmo que os ataques iniciais possam ter sido direcionados, não há razão para os atores não tentarem a sorte atacando qualquer organização que rode um servidor vulnerável. Além disso, os ataques estão associados a um alto risco de roubo de dados ou até mesmo ataques de ransomware. Portanto, as empresas precisam tomar medidas de proteção o mais rápido possível”, completou.

Como os ataques estão acontecendo

O Microsoft Exchange Server vem em dois formatos, o que gerou alguma confusão sobre quais sistemas estão em risco: há um produto local e um produto de software como serviço em nuvem. O produto em nuvem, o Exchange Online, não é afetado pelas falhas de segurança, bem como outras plataformas de e-mail da Microsoft. Conforme afirmado anteriormente, são os produtos locais que estão sendo explorados. Com isso, serviços como Microsoft 365 e Azure Cloud não estão inclusos na lista de produtos atingidos.

Existem quatro vulnerabilidades nos servidores locais do Exchange que estão sendo exploradas ativamente — você pode acessá-las nos links 1, 2, 3 e 4. Também foram detectadas outras três brechas (1, 2, 3) associadas à segurança, mas autoridades dizem que ainda não foram exploradas ativamente. No entanto, mesmo que updates de correção possam ser encontrados no site da Microsoft, houve alguns problemas na distribuição desses consertos.

Até agora, a Microsoft culpou um único responsável pelas intrusões no Exchange. Trata-se do HAFNIUM, considerado um grupo patrocinado por um estado cujo modus operandi envolve a exploração de falhas de segurança para implantar shells da web — scripts maliciosos que podem atuar como backdoors em sistemas. Esses shells permitem que os hackers obtenham acesso remoto aos servidores e, em seguida, exportem dados de e-mail, incluindo caixas de entrada inteiras. O objetivo do HAFNIUM parece ser a coleta de informações. E, embora se acredite que o grupo esteja baseado na China, o governo chinês negou qualquer responsabilidade.

Em contrapartida, pesquisadores de segurança dizem que é quase certo que existam mais envolvidos na exploração das vulnerabilidades. A empresa de segurança Red Canary relatou no fim de semana ter observado vários picos de atividades direcionados a servidores Exchange, e que as organizações não devem presumir que estão sendo visadas especificamente pelo HAFNIUM. “Com base em nossa visibilidade e relatórios de pesquisadores da Microsoft, FireEye e outros, há pelo menos cinco grupos diferentes de atividades que parecem estar explorando as vulnerabilidades”, disse a pesquisadora Katie Nickels, da Red Canary.

Assine a newsletter do Gizmodo

Quem está sendo atingido

Devido ao uso generalizado do Exchange, muitos tipos diferentes de entidades estão em risco. Algumas grandes organizações, incluindo a Autoridade Bancária Europeia, já anunciaram ter sofrido violações. Ainda não se sabe se o governo dos EUA foi afetado, embora várias agências, entre elas o Pentágono, estejam examinando as próprias redes para investigar se foram comprometidas.

Pesquisadores de segurança expressaram preocupação especial com entidades de menor porte — especificamente governos de cidades e condados e pequenas e médias empresas — que, segundo eles, correm mais riscos. Em Dakota do Norte, o governo estadual admitiu que ter se tornado um alvo do HAFNIUM, e que estava investigando se hackers chineses haviam roubado dados.

Lior Div, CEO da empresa de segurança Cybereason, disse que companhias menores em particular correm risco de ser comprometidas pelos ataques. Div enfatizou o impacto potencial que esse hack pode ter nas economias locais caso os ataques sejam mais destrutivos do que invasivos.

“O mais recente ataque contra o Microsoft Exchange é mil vezes mais devastador [do que o hack da SolarWinds] porque os invasores chineses têm como alvo as pequenas e médias empresas, a força vital da economia dos EUA e impulsionadora da economia global. As PMEs foram as mais afetadas pela pandemia de covid-19, com milhões de fechamentos em todo o mundo. E justamente quando estamos começando a nos reerguer após um ano devastador, este ataque contra elas é lançado. É potencialmente ainda mais prejudicial porque as PMEs normalmente não têm uma postura de segurança tão robusta”, disse Div por e-mail.

O que está sendo feito

No último domingo (7), a Casa Branca anunciou que formaria uma força-tarefa para investigar a extensão do hack. Só que essa resposta pode chegar com atraso, uma vez que o governo do presidente Joe Biden já luta para responder ao hack da SolarWinds.

Conforme observado acima, a Microsoft lançou patches para as vulnerabilidades, mas eles tiveram alguns problemas. Na quinta-feira passada (4), um porta-voz da Microsoft observou que, em certos casos, os updates parecem funcionar, mas não consertam a vulnerabilidade. Uma análise completa desse problema pode ser encontrada no site da Microsoft.

As organizações foram avisadas de que não devem apenas corrigir os bugs, mas também investigar se seus sistemas já foram comprometidos. A Microsoft anunciou recursos para ajudar nisso ao liberar uma atualização para sua ferramenta Safety Scanner (MSERT), que pode identificar se shells da web foram implantados em servidores Exchange. O MSERT é uma ferramenta anti-malware que procura, identifica e remove código malicioso em um sistema.

Além de reforçar as defesas e inspecionar os sistemas em busca de indicações de comprometimento, pode não haver muito que possa ser feito neste ponto. Definitivamente, levará algum tempo para entender a extensão dos danos.