Servidores Microsoft Exchange sob Ataque

25 de Junho de 2025

Agentes de ameaça não identificados foram observados mirando em servidores Microsoft Exchange expostos publicamente para injetar código malicioso nas páginas de login que capturam suas credenciais.

A Positive Technologies, em uma nova análise publicada na última semana, disse que identificou dois tipos diferentes de código keylogger escritos em JavaScript na página de login do Outlook:

- Aqueles que salvam os dados coletados em um arquivo local acessível pela internet
- Aqueles que imediatamente enviam os dados coletados para um servidor externo

O fornecedor russo de cibersegurança disse que os ataques visaram 65 vítimas em 26 países ao redor do mundo e marca a continuação de uma campanha que foi documentada pela primeira vez em maio de 2024 como direcionada a entidades na África e no Oriente Médio.

Naquela época, a empresa disse que havia detectado pelo menos 30 vítimas abrangendo agências governamentais, bancos, empresas de TI e instituições educacionais, com evidência do primeiro comprometimento remontando a 2021.

As cadeias de ataque envolvem a exploração de falhas conhecidas no Microsoft Exchange Server (por exemplo, ProxyShell) para inserir código keylogger na página de login.

Atualmente, não se sabe quem está por trás desses ataques.

Algumas das vulnerabilidades armadas estão listadas abaixo:

- CVE-2014-4078 - Vulnerabilidade de Bypass de Recurso de Segurança do IIS
- CVE-2020-0796 - Vulnerabilidade de Execução Remota de Código Cliente/Servidor Windows SMBv3
- CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 , CVE-2021-27078. Essa descrição em Português do Brasil ficaria assim: Vulnerabilidade de Execução Remota de Código no Microsoft Exchange Server. Este ID de CVE é único em relação às outras vulnerabilidades conhecidas como CVE-2021-26412, CVE-2021-26854, CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 , CVE-2021-27078.