O número de usuários atacados por façanhas O alvo de vulnerabilidades em servidores Microsoft Exchange, e bloqueado pelos produtos Kaspersky, aumentou significativamente entre julho e agosto. Na América Latina, o aumento dos ataques registrados em agosto foi de 153%, com Venezuela (450%), Chile (378%), México (258%), Equador (242%) e Argentina (186%) liderando a lista de países mais afetados. É seguido por Peru (176%), Paraguai (165%), Brasil (67%) e Colômbia (57%)
De acordo com os especialistas da empresa, esse aumento impressionante está relacionado ao número crescente de ataques que tentam explorar vulnerabilidades anteriormente divulgadas no produto e ao fato de os usuários não instalarem os patches do software vulnerável assim que estiverem disponíveis, o que se expande o potencial de ataque.
Vulnerabilidades no Microsoft Exchange Server causaram muito caos este ano. o 2 Março de 2021, o público soube da explorar “In-the-wild” de vulnerabilidades de dia zero no Microsoft Exchange Server, que foram posteriormente usadas em uma onda de ataques a organizações em todo o mundo. Meses depois, a Microsoft também lançou patches para várias das chamadas vulnerabilidades do ProxyShell: CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207. Juntas, essas vulnerabilidades representam uma ameaça crítica, pois permitem que um invasor ignore a autenticação e execute o código como um usuário privilegiado. Embora os patches para essas vulnerabilidades tenham sido lançados há algum tempo, os cibercriminosos não hesitaram em explorá-los, resultando em 74.274 tentativas de ataques em todo o mundo pelas tecnologias Kaspersky nessas vulnerabilidades do MS Exchange nos últimos seis meses.
Além disso, como advertiu a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos Estados Unidos em 21 de agosto, as vulnerabilidades do ProxyShell estão sendo ativamente exploradas por cibercriminosos em uma recente onda de ataques. En su aviso, publicado el 26 de agosto, Microsoft explicó que un servidor de Exchange es vulnerable si no está ejecutando una Actualización acumulativa (CU, por sus siglas en inglés) con, por lo menos, la Actualización de seguridad de mayo (SU, por suas siglas em inglês).
De acordo com a telemetria Kaspersky, na última semana de agosto, as tecnologias da empresa bloquearam mais que 1, 700 ataques diários a usuários únicos com façanhas ao ProxyShell, registrando um aumento de 170% no número de usuários atacados globalmente em relação a julho de 2021. Na América Latina, o aumento médio para a região foi de 153%. Isso reflete o problema em grande escala que essas vulnerabilidades representam se não forem corrigidas.
“O fato de que essas vulnerabilidades estão sendo ativamente exploradas não é surpreendente; frequentemente, as vulnerabilidades do dia 1 (Os que já foram revelados e têm patches emitidos por seus desenvolvedores) representam uma ameaça ainda maior, pois são conhecidos por uma gama mais ampla de cibercriminosos que tentam a sorte para penetrar em qualquer rede que esteja ao seu alcance. Esse crescimento ativo de ataques demonstra mais uma vez por que é essencial corrigir as vulnerabilidades assim que estiverem disponíveis para evitar que as redes sejam comprometidas. É altamente recomendável seguir o recente comunicado da Microsoft para mitigar riscos adicionais. “ Comente Evgeny Lopatin, pesquisador de segurança da Kaspersky.
Os produtos Kaspersky protegem contra ataques que exploram vulnerabilidades no ProxyShell por meio de componentes de detecção de comportamento e prevenção de exploração. Os ataques são detectados com os seguintes veredictos:
Para se proteger contra esses tipos de ataques, a Kaspersky recomenda:
