Milhares de servidores Microsoft Exchange seguem vulneráveis a esta falha

A falta de atualização como aliada do cibercrime se tornou ainda mais presente com a localização de mais de 60 mil servidores Microsoft Exchange vulneráveis às vulnerabilidades ProxyNotShell. A falha zero-day revelada originalmente em setembro do ano passado já recebeu atualizações e guias de mitigações, mas ainda segue como um possível vetor de exploração.

O levantamento foi feito pela Shadowserver Foundation, uma fundação sem fins lucrativos que trabalha em prol da segurança da internet. Os números mostram uma redução de 27,4% no total de detecções, mas ainda são considerados altos quando se leva em conta que estamos falando de uma vulnerabilidade conhecida, com atualizações amplamente disponíveis.

Estados Unidos e Alemanha concentram a maior parte dos servidores desprotegidos, com Canadá, Rússia, Austrália, Itália e França também trazendo número alarmante de infraestruturas. Do total, 534 infraestruturas vulneráveis também foram localizadas no Brasil, que lidera o total de detecções na América Latina de acordo com os dados da organização.

-
Podcast Canaltech: de segunda a sexta-feira, você escuta as principais manchetes e comentários sobre os acontecimentos tecnológicos no Brasil e no mundo. Links aqui: https://canaltech.com.br/360/
-

We are reporting out Microsoft Exchange servers still likely vulnerable to CVE-2022-41082 #ProxyNotShell. Nearly 70K IPs found without MS patches applied (based on version info). Previously recommended mitigation techniques can be bypassed by attackershttps://t.co/ApcM9HwiOK pic.twitter.com/dGA0LvEAbG
— Shadowserver (@Shadowserver) December 26, 2022

"Estamos reportando servidores Microsoft Exchange que ainda parecem estar vulneráveis à CVE-2022-41082 ProxyNotShell. Quase 70 mil IPs foram encontrados sem as atualizações aplicadas (de acordo com informações de versão). Técnicas recomendadas anteriormente para mitigação podem ser ultrapassadas por atacantes."

Enquanto isso, os golpes seguem acontecendo desde, pelo menos, setembro do ano passado, com o update liberado em novembro tendo resolvido o problema, mas sem penetração o suficiente para tirar a ProxyNotShell da lista de alertas vermelhos pelas companhias de segurança. Guias de mitigação também estão disponíveis, mas são considerados insuficientes pelos especialistas.

Um dos principais agentes criminosos a utilizarem a abertura são as quadrilhas de ransomware, com o malware Play sendo o principal da categoria a agir contra as corporações desprotegidas. Enquanto isso, falhas “irmãs” como a ProxyLogon e a ProxyShell também seguem como um fator de risco, com a segunda chegando a aparecer, inclusive, entre as ameaças mais populares de 2022.

A recomendação, caso já não tenha ficado claro, é de atualização urgente dos servidores rodando versões antigas do Microsoft Exchange. Estruturas customizadas ou que necessitem de configurações adicionais devem seguir guias de mitigação e melhores práticas de segurança, enquanto sistemas de monitoramento e segmentação também ajudam a identificar acessos remotos indevidos e dificultar a ação de malwares.

Leia a matéria no Canaltech.

Trending no Canaltech: