.
A invasão da Comissão Eleitoral do Reino Unido foi potencialmente facilitada pela exploração de uma vulnerabilidade no Microsoft Exchange, de acordo com um especialista em segurança.
No início desta semana, o órgão de supervisão eleitoral divulgado que seus sistemas foram invadidos e os invasores tiveram acesso aos servidores que hospedam o e-mail da organização, bem como cópias dos registros eleitorais de todo o Reino Unido.
Parece que a Comissão Eleitoral estava executando o Microsoft Exchange Server com Outlook Web App (OWA) voltado para a Internet e estava vulnerável a uma exploração conhecida como ProxyNotShell no momento em que atividades suspeitas foram detectadas pela primeira vez nos sistemas da Comissão em Outubro 2022.
A vulnerabilidade ProxyNotShell é um ponto fraco em como a Microsoft lida com solicitações de autenticação. Ele inclui dois bugs de segurança, rastreados como CVE-2022-41082 e CVE-2022-41040que podem ser explorados juntos para executar comandos do PowerShell em um sistema vulnerável e assumir o controle dele.
De acordo com o pesquisador de segurança Kevin Beaumont, o Microsoft Exchange Server da Comissão Eleitoral ficou visível online até pelo menos o final de setembro de 2022, após o que caiu offline. Isso corresponde à descoberta do ProxyNotShell, que já estava sendo explorado e para o qual nenhum patch de segurança estava disponível há algum tempo.
A versão do Microsoft Exchange Server que estava em execução na época era 15.1.2507.12, que corresponde ao Exchange Server 2016, última atualização de segurança em agosto de 2022. Isso significa que a Comissão Eleitoral (ou seu fornecedor de TI) estava pelo menos aplicando patches de segurança rapidamente durante desta vez, Beaumont observou em um postando no Médio.
O chefe da polícia de NI emite atualização quando dissidentes republicanos irlandeses afirmam que têm texto com dados policiais
O outro incidente de segurança desta semana foi o divulgação errônea de detalhes sobre todos os oficiais em serviço no Serviço de Polícia da Irlanda do Norte (PSNI), o que pode ter colocado alguns oficiais em risco.
Em uma atualização de ontem, o chefe de polícia Simon Byrne se reuniu com membros da equipe executiva da PSNI para discutir o problema e quaisquer medidas necessárias para garantir que tal incidente não aconteça novamente.
Foi relatado que os republicanos irlandeses dissidentes afirmam estar de posse dos dados, que listam os nomes, posição e localização e departamento em que os oficiais trabalham. Já se temia que os dados pudessem ser usados para intimidar, corromper ou prejudicar oficiais ou funcionários.
O problema, no entanto, foi que Redmond demorou até o início de novembro de 2022 para entregar uma atualização de segurança que finalmente corrigiu os bugs e resolveu o problema de vulnerabilidade. Nesse meio tempo, a gigante do software emitiu várias mitigaçõesmas todas essas correções temporárias foram rapidamente contornadas.
Isso não prova necessariamente que o ProxyNotShell é a maneira pela qual os invasores conseguiram obter acesso aos sistemas da Comissão Eleitoral. Por um lado, a organização informou que seus sistemas foram acessados pela primeira vez há mais de um ano, em agosto de 2021.
No entanto, o ProxyNotShell tornaria muito mais fácil para os invasores fazerem praticamente tudo o que quisessem, uma vez que a vulnerabilidade fosse conhecida. Como afirma Beaumont: “O ProxyNotShell permite a execução remota de código no servidor de e-mail do Exchange ou, em outras palavras, o comprometimento total da rede (o Exchange Server é executado com contas do Active Directory altamente privilegiadas por padrão)”.
O ProxyNotShell foi o facilitador de várias outras violações de segurança, principalmente uma que hit Rackspace em dezembro do ano passado e foi tão desastroso que levou a empresa a descontinuar completamente seu serviço de e-mail hospedado Microsoft Exchange.
Beaumont disse que a Microsoft precisa enviar patches de segurança para o Microsoft Exchange Server mais rapidamente, e as organizações que expõem o Exchange Server à Internet precisam estar cientes de que ele será direcionado e implementar monitoramento e contenção de segurança aprimorados. ®
.
