O grupo de hackers conhecido como Sandworm, com sede na Rússia, vem explorando ativamente uma vulnerabilidade encontrada no software de email do Exim Mail Transfer Agent (MTA), de acordo com um alerta da NSA – Agência de Segurança Nacional do USA.
O grupo também é conhecido como Fancy Bear e vários outros, que foram vinculados a uma série de ataques de espionagem na Europa e nos EUA.
No final de 2018 , os pesquisadores de Palo Alto alertaram que o grupo provavelmente estava atrás de uma nova ferramenta de hackers que visava sistemas governamentais nos EUA e na Europa usando ataques furtivos e sofisticados de spear phishing para implantar um trojan da Canon. Os usuários precisariam apenas abrir o email para o download do malware, em vez de clicar em um link para iniciar o ataque malicioso.
O último esforço visa o Exim, um software MTA comum encontrado em sistemas baseados em Unix e em algumas plataformas Linux, como o Debian.
Os funcionários da NSA explicaram que foi lançada uma atualização para uma vulnerabilidade crítica conhecida como CVE-2019-10149, encontrada na versão 4.87 do Exim em 5 de junho de 2019. Se explorada, um agente remoto de ameaça pode obter o controle das contas.
Especificamente, a exploração permitiria que hackers enviassem e-mails personalizados para executar comandos com privilégios de root, permitindo a instalação de programas, modificação de dados e até a criação de novas contas. Como resultado, os hackers podem executar o código de sua escolha em um dispositivo explorado.
As organizações e os usuários foram incentivados a atualizar para a versão mais recente, pois as versões anteriores não são mais suportadas. Mas, de acordo com a NSA, o Sandworm explorou as vítimas através da vulnerabilidade Exim nos MTAs públicos, enviando comandos no campo “MAIL FROM” de uma mensagem SMTP (Simple Mail Transfer Protocol). Cada mensagem é modificada para cada implantação específica.
“Quando o Sandworm explorava o CVE-2019-10149, a máquina da vítima baixava e executava posteriormente um script de shell de um domínio controlado pelo Sandworm”, explicaram os funcionários da NSA.
O script tenta executar uma série de atividades, como adicionar contas privilegiadas, desabilitar as configurações de segurança da rede, atualizar configurações SSH que permitiriam acesso remoto adicional e executar um script adicional para permitir a exploração subsequente.
Dada a gravidade, a NSA pede às organizações que instalem imediatamente a atualização de software de 2019 e garantam que o sistema esteja operando a versão mais recente, 4.93 ou mais recente, para mitigar esta e outras vulnerabilidades da plataforma, pois “existem outras vulnerabilidades e provavelmente serão exploradas… e o uso de uma versão anterior do Exim deixa um sistema vulnerável à exploração. ”
Além disso, os líderes de TI e segurança podem aproveitar as ferramentas de segurança baseadas em rede para detectar e ou bloquear tentativas de exploração e quaisquer alterações adicionais não autorizadas. Examinar logs de tráfego não processados também pode ajudar na detecção de uma tentativa de exploração.
“Por exemplo, a regra 1-50356 do Snort3 alerta por padrão as tentativas de exploração para usuários registrados de um Sistema de Detecção de Intrusão (IDS) da Snort”, explicaram os funcionários da NSA.
“Os administradores são incentivados a revisar os dispositivos de segurança de rede que protegem os servidores de correio Exim, tanto para identificar a exploração anterior quanto para garantir a proteção baseada em rede para quaisquer servidores Exim sem patch.”
“Existem outros métodos de ataque para configurações não padrão e podem não ser detectados usando esses métodos”, eles continuaram. “A verificação rotineira de que não ocorreram modificações não autorizadas no sistema, como contas adicionais e chaves SSH, pode ajudar a detectar um comprometimento”.
Os administradores podem detectar modificações usando o software de monitoramento de integridade de arquivos, que pode enviar alertas ao administrador ou bloquear qualquer alteração não autorizada no sistema. Conforme observado por agências federais e pesquisadores de segurança, alavancar uma estratégia de defesa profunda para todos os softwares públicos – incluindo o MTA – é crucial para impedir esse tipo de tentativa de exploração.
Isolar MTAs voltados ao público é outra etapa crítica, além de empregar regras de firewall para bloquear tráfego inesperado e alavancar a segmentação de rede com base em funções e requisitos.
“Ao usar uma DMZ para sistemas públicos voltados para a Internet, as regras de firewall são importantes para impedir que tráfego inesperado atinja recursos internos confiáveis”, explicaram os funcionários da NSA. “Os MTAs devem ter permissão apenas para enviar tráfego de saída para as portas necessárias, e as portas de destino desnecessárias devem ser bloqueadas.
“As regras de firewall de modelo de acesso mínimo em torno de uma DMZ podem impedir que invasores obtenham acesso não autorizado, pois o tráfego de porta inesperado deve ser bloqueado por padrão”, acrescentaram.
Fonte: Health Security
Home office: E-mail seguro com certificado S/MIME. Ouça
Encrypting Emails vs. Encrypting Mail Servers – What’s the Difference?
BlackEnergy: The Scariest Malware in America?
