As vulnerabilidades que afetam os servidores de e-mails do Microsoft Exchange dispararam, desde que a empresa comentou que estava tendo ataques “direcionados e limitados”.
Durante a primeira semana de março de 2021, a Microsoft e os pesquisadores de segurança revelaram quatro vulnerabilidades no Microsoft Exchange, que estavam sob ataques ativos. As vulnerabilidades são falhas no software, que podem permitir esses ataques de modo que os invasores assumam completamente o servidor Exchange. A Avast (LSE: AVST), líder global em produtos de privacidade e segurança digital, compartilha dicas para pequenas e médias empresas sobre como elas podem se manter protegidas.
Quando os patches foram lançados, a Microsoft relatou a existência de “ataques limitados e direcionados”. No entanto, nos dias que decorreram desde então, os invasores aumentaram exponencialmente as suas atividades e há relatos de centenas de milhares de ataques contra os servidores Exchange, ao redor do mundo. A taxa de ataques está aumentando e isso significa que todos aqueles com servidores Exchange vulneráveis, devem tomar medidas imediatas para proteger seus sistemas.
A Avast reconhece que as pequenas e médias organizações estão particularmente expostas a esses ataques. Além disso, atualmente há pouca informação disponível dirigida para este público, sobre esta questão. Por esse motivo, Christopher Budd, Gerente Sênior de Comunicações de Ameaças Globais da Avast, compartilha os passos recomendados que as empresas devem seguir:
Atualize o sistema agora.
Os patches já estão disponíveis. No entanto, é importante ter em mente que a implementação desses patches protegerá apenas os sistemas contra quaisquer tentativas futuras de exploração de vulnerabilidades. Portanto, não ajudam a proteger contra qualquer tentativa de ataque às vulnerabilidades que possam ter ocorrido ANTES da aplicação das atualizações de segurança. E se o sistema foi atacado, os patches NÃO vão desfazer nada que os cibercriminosos tenham feito, por meio dos seus ataques. Os patches apenas corrigem vulnerabilidades, eles não removem as ferramentas dos invasores ou outras coisas que os cibercriminosos possam ter feito no sistema, quando o comprometeram. Isto significa que, depois de aplicar os patches, há mais trabalho a ser feito.
Identifique se você sofreu um ataque.
Utilize as informações fornecidas pela Microsoft, para identificar se o sistema foi comprometido por pelo menos alguns dos ataques conhecidos por serem executados contra essas vulnerabilidades. Caso as empresas encontrem informações em seus servidores Exchange, que correspondam às do comunicado da Microsoft, é provável que os seus sistemas tenham sido comprometidos por tais ataques e, portanto, será necessária a adoção de outras medidas para recuperá-los.
Recuperação. “desconectar e reconstruir”.
Esses são passos padrão recomendados em qualquer situação de comprometimento. O fato de desconectar o sistema comprometido (ou potencialmente comprometido) de imediato, é capaz de fechar a porta de acesso do invasor. Mesmo que o sistema tenha sido atualizado, os cibercriminosos podem ter outros meios para controlar um sistema comprometido – apenas o patch por si só, não mudará isso. A desconexão é capaz de cortar o acesso dos invasores a esse sistema, bem como a sua rede. Quando um sistema é comprometido desta forma, reconstruí-lo por completo é a melhor forma para remover o acesso dos cibercriminosos e suas ferramentas inseridas. Você também pode considerar a restauração do sistema, a partir de cópias de segurança (backups). A empresa deve garantir que está usando um backup datado antes do ataque, para essa restauração do sistema. Infelizmente, caso faça essa restauração a partir de um backup datado após o comprometimento do sistema, você estará restaurando uma versão do sistema com as ferramentas e o acesso concedido dos invasores, assim, anulando o propósito da restauração. Além disso, ao reconstruir ou restaurar, o sistema deve ser corrigido ANTES de ser reconectado e colocado de volta em operação. Em situações como essa, não é incomum que um sistema reconstruído ou restaurado, sem patch, seja comprometido novamente antes de ser corrigido, e isso o levará de volta ao ponto inicial do seu processo de recuperação.
Monitoramento de futuras atividades maliciosas.
As empresas afetadas devem implementar um monitoramento capaz de identificar um comportamento incomum na rede, o que pode apontar para outros sinais de comprometimentos muito maiores. Algumas coisas importantes a serem observadas são: atividades incomuns em nível de administrador e em contas de serviços; tráfegos incomuns nas redes relacionados a sistemas desconhecidos e provenientes de localizações geográficas inesperadas; e atividades incomuns de acesso remoto. Esta não é uma lista exaustiva, mas contém alguns pontos-chave nos quais deve-se concentrar. Infelizmente, a Avast descobriu que a presença de cibercriminosos na web pode ser difícil de detectar, mesmo para os mais espertos. O apoio de um especialista em segurança é realmente necessário, para determinar se há algum outro comprometimento na rede. Além do monitoramento, é importante determinar se todos os sistemas estão totalmente atualizados, para todos os patches de sistemas operacionais e aplicativos. Você também deve considerar a realização de varreduras de segurança agressivas, em todos os sistemas possíveis. Isso pode ajudar a identificar outro malware ou ferramentas, que os cibercriminosos podem ter colocado nos sistemas e nas redes.