Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Blogs de Portugal

Declarações Sophos - Ataque Hafnium

Declarações Sophos - Ataque Hafnium
Share it:
No seguimento das notícias recentemente divulgadas sobre as vulnerabilidades da Microsoft e o ataque realizado por um grupo de cibercriminosos denominado Hafnium, a empresa de cibersegurança Sophos (LSE:SOPH) tem estado a acompanhar o assunto de perto e está a divulgar conselhos de como as empresas devem deter estas ameaças e mitigar os ataques sofridos, ou possíveis futuros ataques. 
Declarações Sophos - Ataque Hafnium
Mat Gangwer comenta: “Estas vulnerabilidades são importantes e devem ser levadas muito a sério. Permitem que os atacantes executem comandos de forma remota, nos servidores afetados, sem necessidade de credenciais; e qualquer ameaça pode tirar partido deles. A utilização ampla do Exchange e a sua exposição à Internet significam que muitas empresas que utilizam um servidor local Exchange podem estar em risco.

Os cibercriminosos estão a explorar ativamente essas vulnerabilidades, sendo a implementação de um webshell a sua técnica principal. Se esta situação não for resolvida, pode permitir que os atacantes executem comandos de forma remota enquanto o webshell está presente.

As empresas que utilizam um servidor Exchange local devem assumir que estão afetadas e, em primeiro lugar, aplicar patches nos seus dispositivos Exchange e confirmar que as atualizações foram realizadas corretamente. No entanto, a simples aplicação dos patches não elimina da rede os artefactos que sejam anteriores à execução do patch. As organizações precisam da inteligência e olhar humanos para determinar se foram realmente afetadas, em que medida e, mais importante do que tudo, para neutralizar o ataque e eliminar o inimigo das suas redes.

As empresas devem rever os registos (logs) no servidor em busca de indícios de que um atacante possa ter invadido o seu servidor Exchange. Muitos dos indicadores atuais de uma vulnerabilidade são baseados em webshell, pelo que não haverá indícios dos ficheiros no servidor Exchange. É, por isso, importante ter uma visão geral sobre os documentos e qualquer modificação que possam ter sofrido. Tendo instalada uma solução de deteção e resposta de endpoints (EDR), também é possível rever os logs e acionar a execução dos comandos.

Se encontrar alguma atividade fora do normal ou suspeita, deve determinar a sua exposição, uma vez que assim poderá decidir o que fazer em seguida. Será necessário saber a duração e impacto que a atividade possa ter tido – qual é o intervalo de tempo entre a aparição do webshell ou de outros artefactos na rede e o momento da sua identificação ou da execução de patches? Se não está seguro do que fazer, este é geralmente um bom momento para pedir apoio externo. A resposta forense e de combate a incidentes por parte de terceiros podem ser fundamentais nesta fase, uma vez que oferecem deteção e combate às ameaças comprovados, bem como inteligência humana capaz de mergulhar na rede e encontrar os atacantes.

A equipa de Managed Threat Response da Sophos está a procurar e a investigar ativamente os ambientes dos clientes para verificar se é possível descobrir novos artefactos ou indicadores de vulnerabilidade que possam ser utlizados para aumentar a deteção e a defesa contra esta ameaça. A nossa equipa de resposta a incidentes 24/7 já está a apoiar as empresas que acreditam ter sido atacadas, o que também nos ajudará a reunir mais informações sobre esta ameaça e como a evitar”, assinala o especialista da Sophos.

A Sophos já divulgou as deteções dos IoCs conhecidos, assim como as ferramentas de pós-exploração utilizadas neste caso.
Share it:

info

Post A Comment:

0 comments: