Ataques ao Exchange Server: Microsoft faz comentários pós-comprometimento

Se você estiver tratando os riscos de um servidor Exchange infectado, deverá procurar rastros de várias ameaças, avisa a Microsoft.

Microsoft

Muitos servidores Exchange locais estão sendo corrigidos, porém a Microsoft avisa que suas investigações encontraram várias ameaças à espreita em sistemas já comprometidos.

A Microsoft está alertando sobre possíveis ataques subsequentes que visam servidores Exchange já comprometidos, especialmente se os invasores usaram scripts de shell da web para obter persistência no servidor ou onde o invasor roubou credenciais durante ataques anteriores.

No início desta semana a Microsoft disse que 92% dos servidores Exchange vulneráveis ​​foram corrigidos ou tiveram seus patches aplicados. Apesar disso, a empresa de segurança cibernética F-Secure disse que “dezenas de milhares” de servidores Exchange já foram violados.

Microsoft lança nova alerta

Em uma nova postagem no blog, a Microsoft reiterou seu aviso de que “corrigir um sistema não remove necessariamente o acesso do invasor”.

“Muitos dos sistemas comprometidos ainda não receberam uma ação secundária, como ataques de ransomware operados por humanos ou exfiltração de dados, indicando que os invasores podem estar estabelecendo e mantendo seu acesso para possíveis ações posteriores”, observa a Equipe de Inteligência de Ameaças do Microsoft 365 Defender.

Onde os sistemas foram comprometidos, a Microsoft insiste para que os administradores estabeleçam o princípio do privilégio mínimo e mitiguem a escalação de privilégios em uma rede.

O privilégio mínimo ajudará a resolver a prática comum em que um serviço ou tarefa agendada do Exchange foi configurada com uma conta altamente privilegiada para executar tarefas como backups.

“Como as credenciais da conta de serviço não são alteradas com frequência, isso pode ser uma grande vantagem para um invasor, mesmo se ele perder seu acesso inicial ao shell da web devido a uma detecção de antivírus, já que a conta pode ser usada para elevar privilégios posteriormente”, observa a Microsoft.

Usando o ransomware DoejoCrypt, também conhecido como DearCry, como exemplo, a Microsoft observa que os shells da web usados ​​por essa linhagem gravam um arquivo em lote em C: \ Windows \ Temp \ xx.bat. Isso foi encontrado em todos os sistemas atingidos pelo DoejoCrypt e pode oferecer ao invasor uma rota para recuperar o acesso onde as infecções foram detectadas e removidas.

“Este arquivo em lote realiza um backup do banco de dados do Security Account Manager (SAM) e das seções de registro do Sistema e Segurança, permitindo que os invasores acessem posteriormente as senhas dos usuários locais no sistema e, mais criticamente, na LSA [Autoridade de Segurança Local] Parte dos segredos do registro, onde as senhas para serviços e tarefas agendadas são armazenadas “, observa a Microsoft.

Mesmo quando as vítimas não foram afetadas por ransomware, o uso do arquivo xx.bat pelo invasor permite que eles explorem uma rede por meio do shell da web que deixou o arquivo cair. O shell da web também baixa o kit de teste de penetração Cobalt Strike antes de baixar a carga útil do ransomware e criptografar os arquivos. Em outras palavras, uma vítima pode não ter sido afetada por ransomware hoje, mas o invasor deixou as ferramentas na rede para fazer isso amanhã.

A outra ameaça do crime cibernético aos servidores Exchange vem de mineradores de criptomoedas mal-intencionados. O botnet criptomoeda Lemon Duck foi observado explorando servidores Exchange vulneráveis. Curiosamente, os operadores do Lemon Duck limparam um servidor Exchange com o arquivo xx.bat e um shell da web, dando a ele acesso exclusivo ao servidor Exchange. A Microsoft também descobriu que ele estava sendo usado para instalar outro malware, em vez de apenas explorar a criptomoeda.

A Microsoft publicou vários indicadores de comprometimento que os defensores da rede podem usar para pesquisar a presença dessas ameaças e sinais de roubo de credencial.

Posts relacionados: Ferramenta de detecção IOC da Microsoft para vulnerabilidades do Exchange Server / NCIJTF lança ficha informativa sobre riscos de Ransomware e 7 passos para ajudar a prevenir e limitar o impacto de um ransomware

Informações obtidas/adaptadas de https://www.zdnet.com/article/exchange-server-attacks-microsoft-shares-intelligence-on-post-compromise-activities/