Hackers chineses estavam usando o Exchange para espionar usuários, diz Microsoft

Felipe Demartini
·2 minuto de leitura

A Microsoft recomendou a atualização urgente de servidores de e-mail que utilizem o Exchange, como forma de mitigar uma série de ataques que estão acontecendo, principalmente, contra usuários dos Estados Unidos. Segundo a empresa, quatro vulnerabilidades estão sendo usadas por um grupo chinês para invadir caixas de correio, ler mensagens e roubar segredos industriais de empresas e instituições americanas.

Os golpes são citados como altamente sofisticados e seriam obra de um grupo conhecido apenas como Hafnium. Apesar de não ter dado mais detalhes sobre os criminosos, a Microsoft fala em uma operação que tem o apoio do governo da China, com o uso de vulnerabilidades zero-day focadas em servidores operados pelas próprias empresas, que nem sempre estão sujeitos ao mesmo guarda-chuva de segurança que grandes aplicações da nuvem, por exemplo.

De acordo com a Microsoft, a exploração começa a partir das quatro vulnerabilidades citadas, que permitem ao atacante obter acesso aos servidores do Exchange e se “disfarçarem” como um acesso legítimo. A partir disso, seria possível abrir uma porta de acesso remoto para que os dados trocados entre os usuários de e-mail efetivamente sejam lidos e interceptados, com poucos rastros na infraestrutura corporativa, dificultando a detecção.

As falhas atingem as versões 2013, 2016 e 2019 do Microsoft Exchange, mas não sua alternativa online. Além de publicar atualizações, que são críticas e devem ser aplicadas por todos os usuários da plataforma (ainda mais agora, que são públicas e podem ser usadas por outros criminosos), a companhia também divulgou um relatório sobre as vulnerabilidades, que também incluem indicadores de comprometimento e passos para descobrir se uma infraestrutura foi comprometida pelos ataques.

Por outro lado, a Microsoft deixou claro que a exploração de tais vulnerabilidades não está relacionada ao recente ataque contra os sistemas da SolarWinds, que expôs o código-fonte de diversas soluções da companhia de Redmond. De acordo com a empresa, o caso continua sendo acompanhado e, pelo menos por enquanto, sistemas e softwares fornecidos por ela não foram utilizados em ataques posteriores contra clientes ou parceiros.

Fonte: Canaltech

Trending no Canaltech: