logo

Conheça a nova ferramenta da Microsoft para evitar ataques do Exchange

publicado em:16/03/21 5:01 PM por: Renata Gonçalves MicrosoftSegurança Da Informção

Ferramenta de mitigação local do Exchange, lançado pela  Microsoft para proteger seu ambiente On-premises de ataques!

A Microsoft lançou  um software de mitigação que aplica todas as contramedidas necessárias para proteger ambientes vulneráveis ​​contra os ataques cibernéticos do ProxyLogon Exchange Server.

 

Use esta ferramenta de atenuação com um clique da Microsoft para evitar ataques do Exchange

Saiba mais sobre a nova ferramenta de mitigação local do Exchange

Chamado de ferramenta de mitigação local do Exchange ( EOMT ), o script baseado em PowerShell serve para mitigar ataques conhecidos atuais usando CVE-2021-26855, verificar o Exchange Server usando o Microsoft Safety Scanner para quaisquer shells da web implantados e tentar corrigir os comprometimentos detectados.

“Esta nova ferramenta foi projetada como uma atenuação temporária para clientes que não estão familiarizados com o processo de patch / atualização ou que ainda não aplicaram a atualização de segurança do Exchange local”, disse a Microsoft .

Ataques indiscriminados contra Exchange Servers

O desenvolvimento vem na sequência de ataques indiscriminados contra Exchange Servers não corrigidos em todo o mundo por mais de dez agentes de ameaças persistentes avançados, a maioria dos grupos de ciberespionagem apoiados pelo governo, para plantar backdoors, mineradores de moedas e ransomware , com o lançamento de provas of-concept (PoC), alimentando ainda mais a onda de hackers.

Com base na telemetria do RiskIQ , 317.269 dos 400.000 Exchange Servers locais em todo o mundo foram corrigidos em 12 de março, com os EUA, Alemanha, Grã-Bretanha, França e Itália liderando os países com servidores vulneráveis.

Além disso, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) atualizou sua orientação para detalhar até sete variantes do shell da web China Chopper que estão sendo aproveitadas por agentes mal-intencionados.

Use esta ferramenta de atenuação com um clique da Microsoft para evitar ataques do Exchange

Investigação da Microsoft

Ocupando apenas quatro kilobytes, o shell da web tem sido uma ferramenta popular de pós-exploração escolhida por atacantes cibernéticos há quase uma década.

Enquanto a amplitude das invasões está sendo avaliada, a Microsoft também está investigando como os ataques “limitados e direcionados” que detectou no início de janeiro ganharam força para se transformar rapidamente em uma campanha de exploração em massa generalizada, forçando-a a liberar as correções de segurança por semana antes do vencimento.

O vazamento foi acidental ou proposital?

O Wall Street Journal informou na sexta-feira que os investigadores estão focados em saber se um parceiro da Microsoft, com quem a empresa compartilhou informações sobre as vulnerabilidades por meio de seu Programa de Proteção Ativa da Microsoft ( MAPP ), vazou acidentalmente ou propositalmente para outros grupos.

Também está sendo afirmado que algumas ferramentas usadas na “segunda onda” de ataques no final de fevereiro são semelhantes ao código de ataque de prova de conceito que a Microsoft compartilhou com empresas de antivírus e outros parceiros de segurança em 23 de fevereiro, levantando a possibilidade de que os atores da ameaça podem ter posto as mãos em divulgação privada que a Microsoft compartilhou com seus parceiros de segurança.

Outra teoria sobre os ataques

A outra teoria é que os atores da ameaça descobriram independentemente o mesmo conjunto de vulnerabilidades, que foram então exploradas para conduzir furtivamente o reconhecimento de redes alvo e roubar caixas de correio, antes de aumentar os ataques assim que os hackers descobriram que a Microsoft estava preparando um patch.

“Esta é a segunda vez nos últimos quatro meses que atores estatais se envolvem em ataques cibernéticos com potencial para afetar empresas e organizações de todos os tamanhos”, disse a Microsoft 

“Embora isso tenha começado como um ataque de Estado-nação, as vulnerabilidades estão sendo exploradas por outras organizações criminosas, incluindo novos ataques de ransomware, com potencial para outras atividades maliciosas.”

Traduzido do original: The Hacker News

Leia também:

 Vazamento de dados, porque as empresas não conseguem impedir?

Criando uma política de senha forte com diretrizes Specops e NIST

Sophos o que é Intercept X





Comentários



Adicionar Comentário