.
Getty Images
Parece cada vez mais provável que uma vulnerabilidade crítica de dia zero que não foi corrigida por mais de um mês no Microsoft Exchange tenha sido a causa de um dos maiores hacks do Reino Unido de todos os tempos – a violação da Comissão Eleitoral do país, que expôs dados de tantos como 40 milhões de habitantes.
Funcionários da Comissão Eleitoral divulgaram a violação na terça-feira. Eles disseram que descobriram a invasão em outubro passado, quando encontraram “atividades suspeitas” em suas redes e que “atores hostis acessaram os sistemas pela primeira vez em agosto de 2021”. Isso significa que os invasores permaneceram na rede por 14 meses antes de finalmente serem expulsos. A Comissão esperou nove meses depois disso para notificar o público.
O acordo deu aos atacantes acesso a uma série de informações pessoais, incluindo nomes e endereços de pessoas registradas para votar de 2014 a 2022. Porta-vozes da Comissão disseram que o número de eleitores afetados pode chegar a 40 milhões. A Comissão ainda não disse qual foi a causa da violação ou os meios de entrada inicial.
Algumas investigações on-line feitas independentemente pelo repórter do TechCrunch Zack Whittaker e pelo pesquisador Kevin Beaumont sugerem que um par de vulnerabilidades críticas no Microsoft Exchange Server, que grandes organizações usam para gerenciar contas de e-mail, foi a causa. Rastreada como CVE-2022-41080 e CVE-2022-41082, a cadeia de execução remota de código veio à tona em 30 de setembro de 2022, depois de já ter sido explorada ativamente por mais de um mês em ataques que instalaram webshells maliciosos em servidores vulneráveis. A Microsoft emitiu orientações para mitigar a ameaça, mas não corrigiu as vulnerabilidades até 8 de novembro, seis semanas depois de confirmar a existência da cadeia de vulnerabilidades de dia zero explorada ativamente.
Nas semanas seguintes à descoberta dos dias zero, Beaumont relatou que as medidas de mitigação recomendadas pela Microsoft poderiam ser contornadas. Na quarta-feira, ele mais uma vez culpou a Microsoft, primeiro por fornecer orientação incorreta e novamente por levar três meses para lançar patches.
“Na época, a Microsoft lançou mitigações temporárias em vez de um patch de segurança – demorou até novembro de 2022 para que uma atualização de segurança parecesse resolver totalmente o problema”, escreveu o pesquisador. “Foi um atraso significativo. Enquanto isso, as mitigações de segurança fornecidas pela Microsoft foram ignoradas repetidamente.” Mais tarde no post, ele acrescentou: “A Microsoft precisa enviar patches de segurança para o Microsoft Exchange Server mais rapidamente. Ele precisa de algum tipo de canalização de emergência.”
Citando os resultados retornados pelo mecanismo de pesquisa Shodan para dispositivos conectados à Internet, Beaumont e Whittaker disseram que a Comissão executou um Exchange Server local exposto à Internet com o Outlook Web App até o final de setembro de 2020, quando parou de responder repentinamente. As buscas mostram que o pessoal da Comissão atualizou o software do servidor pela última vez em agosto. Como já observado, agosto foi o mesmo mês em que começaram as explorações ativas de vulnerabilidades.
“Para ser claro, isso significa que a Comissão Eleitoral (ou seu fornecedor de TI) fez o coisa certa– eles estavam aplicando patches de segurança rapidamente durante esse período em 2022 ”, escreveu o pesquisador.
Mais conhecido como ProxyNotShell, CVE-2022-41082 e CVE-2022-41080 afetam os servidores locais do Exchange. A Microsoft disse no início de outubro que estava ciente de apenas um agente de ameaça explorando as vulnerabilidades e que o agente tinha como alvo menos de 10 organizações. O agente da ameaça é fluente em chinês simplificado, sugerindo que tem um nexo com a China.
Em dezembro, o host de nuvem Rackspace divulgou uma violação que mais tarde disse ter sido causada pela exploração de um dia zero “associado a” CVE-2022-41080. A essa altura, os patches lançados pela Microsoft já estavam disponíveis há quatro semanas. A última postagem, que atribuiu os ataques a um sindicato de ransomware rastreado como Play, criticou a divulgação inicial da vulnerabilidade pela Microsoft.
“A Microsoft divulgou o CVE-2022-41080 como uma vulnerabilidade de escalonamento de privilégios e não incluiu notas por fazer parte de uma cadeia de execução remota de código que era explorável”, escreveram os funcionários da Rackspace.
A invasão do servidor Exchange da Comissão é um poderoso lembrete dos danos que podem ocorrer quando o software é abusado. Ele também destaca os danos que podem ocorrer quando os fornecedores não fornecem atualizações em tempo hábil ou emitem orientações de segurança incorretas. Os representantes da Microsoft não responderam a um e-mail solicitando comentários.
.
