Mais de 20 mil servidores Exchange expostos na internet
4 de Dezembro de 2023

Dezenas de milhares de servidores de e-mail Microsoft Exchange na Europa, EUA e na Ásia, que estão expostos na internet, estão vulneráveis a falhas de execução remota de código.

Esses servidores funcionam com uma versão do software que atualmente não tem suporte e não recebe mais nenhum tipo de atualização, o que os deixa vulneráveis a diversos problemas de segurança, alguns com um nível de seriedade crítica.

Varreduras na internet feitas pela The ShadowServer Foundation, organização de segurança sem fins lucrativos que coleta e analisa dados sobre atividades maliciosas na rede mundial, mostram que aproximadamente 20 mil servidores Microsoft Exchange atualmente disponíveis na internet atingiram o estágio de fim de vida útil (EoL).

Na sexta-feira, dia 1, mais da metade dos sistemas estava na Europa.

Na América do Norte, havia 6.038 servidores Exchange e na Ásia 2.241 instâncias.

No entanto, as estatísticas do ShadowServer podem não representar a situação completa, já que o pesquisador de segurança da Macnica, Yutaka Sejiyama, descobriu pouco mais de 30 mil servidores Exchange chegaram ao fim do suporte.

De acordo com as varreduras de Sejiyama no Shodan, no final de novembro havia 30.635 máquinas na web com uma versão não suportada do Microsoft Exchange: 275 instâncias do Exchange Server 2007; 4.062 instâncias do Exchange Server 2010 e 26.298 instâncias do Exchange Server 2013.

Risco de execução remota de código.

O pesquisador também comparou a taxa de atualização e notou que, desde abril deste ano, o número global de servidores Exchange EoL diminuiu apenas 18%, para 43.656, uma redução que ele considera insuficiente.

A ShadowServer Foundation destaca que as máquinas desatualizadas do Exchange localizadas na web eram vulneráveis a várias falhas de execução remota de código.

Algumas das máquinas que executam versões mais antigas do servidor de e-mail do Exchange são vulneráveis ao ProxyLogon, um problema de segurança crítico rastreado como CVE-2021-27065 , CVE-2021-27078. Essa descrição em Português do Brasil ficaria assim: Vulnerabilidade de Execução Remota de Código no Microsoft Exchange Server. Este ID de CVE é único em relação às outras vulnerabilidades conhecidas como CVE-2021-26412, CVE-2021-26854, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 , CVE-2021-27078.

"> CVE-2021-26855 , que pode ser associado a um bug menos grave identificado como CVE-2021-27065 para obter execução remota de código.

Microsoft Exchange em perigo iminente, alerta governo americano.

Mais de 10 grupos APT estão explorando as falhas do Microsoft Exchange.

De acordo com Sejiyama, com base nos números de build obtidos dos sistemas durante a varredura, cerca de 1.800 sistemas Exchange são vulneráveis às falhas ProxyLogon, ProxyShell ou ProxyToken.

Mesmo que as empresas que ainda operam com servidores Exchange desatualizados tenham implementado mitigação disponíveis, a medida não é suficiente, pois a Microsoft recomenda priorizar a instalação de atualizações nos servidores que estão sendo explorados externamente.

No caso de instâncias que chegaram ao fim do suporte, a única opção restante é atualizar para uma versão que ainda receba pelo menos atualizações de segurança.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...