.
Uma vez, pessoas razoáveis que se preocupavam com segurança, privacidade e confiabilidade administravam seus próprios servidores de e-mail. Hoje, a grande maioria hospeda seu e-mail pessoal na nuvem, transferindo esse fardo substancial para as equipes de segurança e engenharia capazes de empresas como Google e Microsoft. Agora, especialistas em segurança cibernética argumentam que uma mudança semelhante é necessária – ou há muito tempo – para redes corporativas e governamentais. Para empresas que usam o Microsoft Exchange no local, ainda executando sua própria máquina de e-mail em algum lugar em um armário ou data center, chegou a hora de migrar para um serviço de nuvem – mesmo que apenas para evitar a praga de anos de bugs nos servidores Exchange que tornou quase impossível manter hackers determinados fora.
O último lembrete dessa luta chegou no início desta semana, quando o pesquisador de segurança taiwanês Orange Tsai publicou uma postagem no blog apresentando os detalhes de uma vulnerabilidade de segurança no Microsoft Exchange. Tsai alertou a Microsoft sobre essa vulnerabilidade já em junho de 2021 e, embora a empresa tenha respondido lançando algumas correções parciais, a Microsoft levou 14 meses para resolver completamente o problema de segurança subjacente. Tsai havia relatado anteriormente uma vulnerabilidade relacionada no Exchange que foi massivamente explorada por hackers patrocinados pelo estado chinês, conhecidos como Hafnium, que no ano passado penetraram em mais de 30.000 alvos, segundo algumas contas. No entanto, de acordo com a linha do tempo descrita no post de Tsai esta semana, a Microsoft atrasou repetidamente a correção da variação mais recente dessa mesma vulnerabilidade, garantindo a Tsai pelo menos quatro vezes que corrigiria o bug antes de lançar um patch completo por meses a mais. Quando a Microsoft finalmente lançou uma correção, escreveu Tsai, ainda exigia ativação manual e faltava qualquer documentação por mais quatro meses.
Enquanto isso, outro par de vulnerabilidades exploradas ativamente no Exchange que foram reveladas no mês passado ainda permanecem sem correção depois que os pesquisadores mostraram que as tentativas iniciais da Microsoft de corrigir as falhas falharam. Essas vulnerabilidades foram apenas as mais recentes em um padrão de anos de bugs de segurança no código do Exchange. E mesmo quando a Microsoft lança patches do Exchange, eles geralmente não são amplamente implementados, devido ao processo técnico demorado de instalá-los.
O resultado desses problemas compostos, para muitos que viram as dores de cabeça induzidas por hackers de executar um servidor Exchange, é uma mensagem bastante clara: um servidor Exchange é, por si só, uma vulnerabilidade de segurança, e a correção é se livrar de isto.
“Você precisa sair do Exchange local para sempre. Esse é o resultado final”, diz Dustin Childs, chefe de conscientização sobre ameaças da Zero Day Initiative (ZDI) da empresa de segurança Trend Micro, que paga pesquisadores para encontrar e relatar vulnerabilidades em softwares comumente usados e executa a competição de hackers Pwn2Own. “Você não está recebendo o suporte, no que diz respeito às correções de segurança, que você esperaria de um componente realmente de missão crítica de sua infraestrutura.”
Além das múltiplas vulnerabilidades que Orange Tsai expôs e os dois bugs não corrigidos explorados ativamente revelados no mês passado, Childs aponta para outras 20 falhas de segurança no Exchange que um pesquisador relatou à ZDI, que a ZDI, por sua vez, relatou à Microsoft há duas semanas, e que permanecer sem correção. “Atualmente, o Exchange tem uma superfície de ataque muito ampla e há anos não realizava muito trabalho abrangente sobre ele do ponto de vista da segurança”, diz Childs.
.
