A Cybersecurity and Infrastructure Security Agency (CISA) e a National Security Agency (NSA) divulgaram orientações para ajudar administradores de TI a fortalecer a segurança dos servidores Microsoft Exchange em suas redes, protegendo-os contra ataques.
Entre as melhores práticas recomendadas estão o fortalecimento da autenticação dos usuários e do controle de acesso, a redução da superfície de ataque das aplicações e a adoção de criptografia robusta na rede.
As agências também alertam para a importância de descomissionar servidores Exchange on-premises ou híbridos que estejam no fim de sua vida útil, especialmente após a migração para o Microsoft 365.
Manter um último servidor Exchange desatualizado no ambiente pode expor as organizações a ataques e aumentar significativamente o risco de violações de segurança.
Embora não detalhadas no guia da CISA e da NSA, ações como o monitoramento contínuo de atividades maliciosas ou suspeitas, além do planejamento de resposta a incidentes e recuperação, são igualmente essenciais para mitigar riscos em servidores Exchange locais.
“Restringindo o acesso administrativo, implementando autenticação multifator (MFA), aplicando configurações rigorosas de segurança no transporte e adotando os princípios do modelo Zero Trust (ZT), as organizações podem fortalecer significativamente suas defesas contra ciberataques”, afirmaram as duas agências na quinta-feira, em comunicado conjunto também apoiado pelo Australian Cyber Security Centre (ACSC) e pelo Canadian Centre for Cyber Security (Cyber Centre).
“As versões do Exchange Server que recentemente chegaram ao fim de vida (EOL) representam um risco crescente, por isso recomendamos que as organizações adotem medidas proativas para mitigar vulnerabilidades e prevenir atividades maliciosas”.
CISA, NSA e seus parceiros compartilharam mais de uma dezena de recomendações essenciais para defensores de redes, como manter os servidores atualizados, migrar versões não suportadas do Exchange, ativar serviços de mitigação emergencial, habilitar recursos internos anti-spam e anti-malware, restringir o acesso administrativo às estações autorizadas e aplicar baselines de segurança tanto para o Exchange Server quanto para sistemas Windows.
Além disso, reforçam a necessidade de fortalecer a autenticação – habilitando MFA, Modern Auth e utilizando OAuth 2.0 –, substituir NTLM por Kerberos e SMB para processos de autenticação mais seguros e configurar Transport Layer Security (TLS) para proteger a integridade dos dados.
Implementar Extended Protection é recomendado para defender contra ataques do tipo Adversary-in-the-Middle (AitM), relay e forwarding.
As organizações também devem ativar a assinatura baseada em certificados para o Exchange Management Shell, configurar HTTP Strict Transport Security para garantir conexões seguras nos navegadores, aplicar controle de acesso baseado em funções (RBAC) para gerenciar permissões de usuários e administradores, configurar Download Domains para bloquear ataques Cross-Site Request Forgery (CSRF) e monitorar tentativas de manipulação do cabeçalho P2 FROM para evitar spoofing de remetente.
O alerta conjunto publicado hoje dá seguimento a uma diretiva emergencial (ED 25-02) emitida pela CISA em agosto de 2023, que determinou às agências federais do Executivo que corrigissem sistemas vulneráveis a uma falha crítica no Microsoft Exchange híbrido (CVE-2023-53786) dentro de quatro dias.
Na época, a Microsoft alertou que essa vulnerabilidade impacta as versões Exchange Server 2016, 2019 e Subscription Edition.
Ela permite que invasores com acesso administrativo a servidores on-premises se movam lateralmente para ambientes de nuvem Microsoft, podendo comprometer o domínio por completo.
Poucos dias após a diretiva da CISA, o grupo de monitoramento Shadowserver identificou mais de 29 mil servidores Exchange ainda vulneráveis a ataques explorando o CVE-2023-53786.
Nos últimos anos, grupos de hackers com apoio estatal ou motivação financeira exploraram diversas vulnerabilidades no Exchange para invadir servidores, incluindo os zero-days ProxyShell e ProxyLogon.
Em março de 2021, pelo menos dez grupos diferentes exploraram as falhas ProxyLogon, entre eles o notório Silk Typhoon, grupo de ameaças patrocinado pela China.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...