Luiz Henrique Lima Campos – Microsoft MVP

9 de março de 2021
por luizhenriquelima
0 comentários

Vulnerabilidades exploradas no Microsoft Exchange Server

Invasores estão explorando quatro vulnerabilidades perigosas no Microsoft Exchange para entrar em redes corporativas.

A Microsoft lançou patches não programadas para várias vulnerabilidades do Exchange Server. Quatro dessas vulnerabilidades, de acordo com a empresa, já estão sendo usadas em ataques direcionados, portanto, seria aconselhável instalar as atualizações o mais rápido possível.

Qual é o risco?

As quatro vulnerabilidades mais perigosas já exploradas permitem que os invasores realizem um ataque em três estágios. Primeiro, eles acessam um servidor Exchange, em seguida, criam um Web shell para acesso ao servidor remoto e, por último, usam esse acesso para roubar dados da rede da vítima. As vulnerabilidades são:

  • CVE-2021-26855 — pode ser usada para falsificação de solicitação backend do servidor, levando à execução remota de código;
  • CVE-2021-26857 — pode ser usada para executar código arbitrário em nome do sistema (embora isso demande direitos de administrador ou exploração da vulnerabilidade anterior);
  • CVE-2021-26858 e CVE-2021-27065 — pode ser usado por um invasor para sobrescrever arquivos no servidor.

Os cibercriminosos usam as quatro vulnerabilidades em conjunto; no entanto, de acordo com a Microsoft, em vez de um ataque inicial, eles às vezes usam credenciais roubadas e as autenticam no servidor sem usar a vulnerabilidade CVE-2021-26855.

Além disso, a mesma patch corrige algumas outras vulnerabilidades menores no Exchange que não estão (até onde sabemos) diretamente relacionadas a ataques direcionados ativos.

Quem está em risco?

A versão em nuvem do Exchange não é afetada por essas vulnerabilidades; eles representam uma ameaça apenas para os servidores implementados na infraestrutura. Inicialmente, a Microsoft liberou atualizações para o Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e uma atualização adicional de “Defesa em Profundidade” para o Microsoft Exchange Server 2010. No entanto, devido à gravidade da exploração, eles adicionaram posteriormente correções para Servidores Exchange desatualizados.

De acordo com pesquisadores da Microsoft, foram os hackers do grupo Hafnium que exploraram as vulnerabilidades para roubar informações confidenciais. Seus alvos incluem empresas industriais americanas, pesquisadores de doenças infecciosas, escritórios de advocacia, organizações sem fins lucrativos e analistas políticos. O número exato de vítimas é desconhecido, mas de acordo com fontes do KrebsOnSecurity, pelo menos 30 mil organizações nos EUA, incluindo pequenas empresas, administrações municipais e municipais e governos locais foram hackeados usando essas vulnerabilidades.

Nossos especialistas descobriram que não apenas as organizações americanas estão em perigo – os cibercriminosos em todo o mundo estão usando essas vulnerabilidades.

Como se proteger de ataques ao MS Exchange

  • Em primeiro lugar, atualize o seu Microsoft Exchange Server. Se sua empresa não puder realizar os procedimentos para tal, a Microsoft recomenda uma série de soluções alternativas.
  • De acordo com a Microsoft, negar o acesso não confiável ao servidor Exchange na porta 443, ou geralmente limitar as conexões de fora da rede corporativa, pode interromper a fase inicial do ataque. Mas isso não ajudará se os invasores já estiverem dentro da infraestrutura ou se obtiverem um usuário com direitos de administrador para executar um arquivo malicioso.
  • Uma solução confiável de Endpoint Detection and Response (se você tiver especialistas internos) ou especialistas externos de serviço de Managed Detection and Response podem detectar esse comportamento malicioso.
  • Sempre tenha em mente que todo computador conectado à Internet, seja servidor ou estação de trabalho, precisa de uma solução de segurança de endpoint confiável para prevenir invasões e detectar proativamente o comportamento malicioso.

2 de março de 2021
por luizhenriquelima
0 comentários

Windows Server 2022 com novos recursos de segurança

A Microsoft anunciou em sua conferência anual de desenvolvedores e profissionais de TI o lançamento de uma versão de amostra do Windows Server 2022. A empresa vai trazer melhorias de segurança como o Secured-core para a plataforma.

A nova versão terá conectividade segura e habilitada pela criptografia AES 256 padrão da indústria. Outro diferencial será o gerenciamento do servidor híbrido, possibilitando um monitoramento mais preciso de desempenho e dos alertas de eventos no Windows Admin Center.

“Além disso, este lançamento inclui melhorias significativas no tempo de execução do contêiner do Windows, como fusos horários virtualizados e suporte IPV6 para aplicativos escalonáveis globalmente, bem como ferramentas de contêiner para aplicativos .NET, ASP.NET e IIS”, acrescentou a Microsoft.

Windows Server 2022 com Secured-core

Os computadores com núcleo seguro são, atualmente, a solução para driblar o número de vulnerabilidades crescentes de firmware. Os invasores podem acessar a inicialização segura de uma máquina Windows e alterar a visibilidade no nível de firmware presente nas soluções de segurança de endpoint atuais.

Desde 2019 a empresa já vem adotando o Secured-core em todos os computadores. A intenção é manter os melhores recursos de segurança para proteger os usuários de ameaças, como ataques de hackers e malware comum, que aproveitam falhas de segurança para agirem.

Os computadores de núcleo seguro desenvolvidos pela Microsoft oferecem os seguintes recursos:

  • Carregar o Windows com segurança: Habilitado com Hypervisor Enforced Integrity, um PC com núcleo protegido, vai iniciar apenas programas assinados e aprovados por autoridades conhecidas. Além disso, o hipervisor define e impõe permissões para evitar que o malware tente modificar a memória e torná-lo executável.
  • Proteção de firmware: O System Guard Secure Launch usa a CPU para validar o dispositivo para inicializar com segurança, evitando ataques de firmware avançados.
  • Proteção de identidade: O Windows Hello permite que o usuário entre sem uma senha. O Credential Guard aproveita o VBS para evitar ataques de identidade.
  • Ambiente operacional seguro e isolado de hardware: A máquina usa o Trusted Platform Module 2.0 e uma CPU moderna com medição de raiz dinâmica de confiança (DRTM) para inicializar o sistema com segurança e minimizar vulnerabilidades de firmware.

Os servidores de núcleo seguro agora seguem essas disposições para inicializar com segurança, se proteger de bugs de firmware, proteger o sistema operacional de ataques, impedir o acesso não autorizado e manter a identidade dos usuários e as credenciais de domínio.

O Windows Server 2022 junto com o Secured-core adicionam os seguintes recursos de defesa preventiva aos servidores.

  • Proteção aprimorada contra exploits: Inovações de hardware permitem implementações robustas e de alto desempenho de mitigações de exploits. A proteção de pilha imposta por hardware aproveitará as vantagens da mais recente extensão de segurança de chipset, a tecnologia de aplicação de fluxo de controle. O Windows Server 2022 e os aplicativos serão protegidos por uma técnica de exploração comum. A programação orientada a retorno (ROP), frequentemente usada para sequestrar o fluxo de controle pretendido de um programa.
  • Segurança de conexão: As conexões seguras estão no centro dos sistemas interconectados de hoje. O Transport Layer Security (TLS) 1.3 é a versão mais recente do protocolo de segurança mais implantado da Internet, que criptografa os dados para fornecer um canal de comunicação seguro entre dois terminais.O TLS 1.3 elimina algoritmos criptográficos obsoletos, aumenta a segurança em relação às versões mais antigas e tem como objetivo criptografar o máximo possível do handshake. O Windows Server 2022 inclui o TLS 1.3 habilitado por padrão, protegendo os dados dos clientes que se conectam ao servidor.
  • Suporte de conta aprimorado para contêineres: Os contêineres estão sendo adotados por muitos clientes como um bloco de construção preferido para seus aplicativos e serviços. Os clientes usam contas de serviço gerenciadas em grupo (gMSA) como a solução de identidade do Active Directory recomendada para executar um serviço em um farm de servidores. Hoje, qualquer pessoa que tente colocar em contêiner seus serviços e aplicativos do Windows que usam (gMSA) deve ingressar no domínio de seu host de contêiner para habilitar a funcionalidade.
  • Mas o usuário deve ficar atento. Isso pode causar problemas de escalabilidade e gerenciamento. O Windows Server 2022 oferece suporte a melhorias para (gMSA) para contêineres do Windows que permitem habilitar o suporte sem que o domínio se junte ao host.

Secured-core para dispositivos Azure IoT Edge

A Microsoft também apresentou o rótulo do dispositivo Edge Secured-core no Microsoft Ignite 2021 para identificar os dispositivos Azure IoT Edge, que atendem às especificações Secured-core.

De acordo com a empresa, “agora, os clientes corporativos que buscam dispositivos de Internet das Coisas (IoT) que atendem à barra de segurança definida pelo Azure podem identificar facilmente os modelos de dispositivos que possuem o rótulo Edge Secured-core no Catálogo de Dispositivos Azure”.

2 de março de 2021
por luizhenriquelima
0 comentários

Windows Server 2022 terá novos recursos de segurança

A Microsoft anunciou em sua conferência anual de desenvolvedores e profissionais de TI o lançamento de uma versão de amostra do Windows Server 2022. A empresa vai trazer melhorias de segurança como o Secured-core para a plataforma.

A nova versão terá conectividade segura e habilitada pela criptografia AES 256 padrão da indústria. Outro diferencial será o gerenciamento do servidor híbrido, possibilitando um monitoramento mais preciso de desempenho e dos alertas de eventos no Windows Admin Center.

“Além disso, este lançamento inclui melhorias significativas no tempo de execução do contêiner do Windows, como fusos horários virtualizados e suporte IPV6 para aplicativos escalonáveis globalmente, bem como ferramentas de contêiner para aplicativos .NET, ASP.NET e IIS”, acrescentou a Microsoft.

Windows Server 2022 com Secured-core

Os computadores com núcleo seguro são, atualmente, a solução para driblar o número de vulnerabilidades crescentes de firmware. Os invasores podem acessar a inicialização segura de uma máquina Windows e alterar a visibilidade no nível de firmware presente nas soluções de segurança de endpoint atuais.

Desde 2019 a empresa já vem adotando o Secured-core em todos os computadores. A intenção é manter os melhores recursos de segurança para proteger os usuários de ameaças, como ataques de hackers e malware comum, que aproveitam falhas de segurança para agirem.

Os computadores de núcleo seguro desenvolvidos pela Microsoft oferecem os seguintes recursos:

  • Carregar o Windows com segurança: Habilitado com Hypervisor Enforced Integrity, um PC com núcleo protegido, vai iniciar apenas programas assinados e aprovados por autoridades conhecidas. Além disso, o hipervisor define e impõe permissões para evitar que o malware tente modificar a memória e torná-lo executável.
  • Proteção de firmware: O System Guard Secure Launch usa a CPU para validar o dispositivo para inicializar com segurança, evitando ataques de firmware avançados.
  • Proteção de identidade: O Windows Hello permite que o usuário entre sem uma senha. O Credential Guard aproveita o VBS para evitar ataques de identidade.
  • Ambiente operacional seguro e isolado de hardware: A máquina usa o Trusted Platform Module 2.0 e uma CPU moderna com medição de raiz dinâmica de confiança (DRTM) para inicializar o sistema com segurança e minimizar vulnerabilidades de firmware.

Os servidores de núcleo seguro agora seguem essas disposições para inicializar com segurança, se proteger de bugs de firmware, proteger o sistema operacional de ataques, impedir o acesso não autorizado e manter a identidade dos usuários e as credenciais de domínio.

O Windows Server 2022 junto com o Secured-core adicionam os seguintes recursos de defesa preventiva aos servidores:

  • Proteção aprimorada contra exploits: Inovações de hardware permitem implementações robustas e de alto desempenho de mitigações de exploits. A proteção de pilha imposta por hardware aproveitará as vantagens da mais recente extensão de segurança de chipset, a tecnologia de aplicação de fluxo de controle. O Windows Server 2022 e os aplicativos serão protegidos por uma técnica de exploração comum. A programação orientada a retorno (ROP), frequentemente usada para sequestrar o fluxo de controle pretendido de um programa.
  • Segurança de conexão: As conexões seguras estão no centro dos sistemas interconectados de hoje. O Transport Layer Security (TLS) 1.3 é a versão mais recente do protocolo de segurança mais implantado da Internet, que criptografa os dados para fornecer um canal de comunicação seguro entre dois terminais.O TLS 1.3 elimina algoritmos criptográficos obsoletos, aumenta a segurança em relação às versões mais antigas e tem como objetivo criptografar o máximo possível do handshake. O Windows Server 2022 inclui o TLS 1.3 habilitado por padrão, protegendo os dados dos clientes que se conectam ao servidor.
  • Suporte de conta aprimorado para contêineres: Os contêineres estão sendo adotados por muitos clientes como um bloco de construção preferido para seus aplicativos e serviços. Os clientes usam contas de serviço gerenciadas em grupo (gMSA) como a solução de identidade do Active Directory recomendada para executar um serviço em um farm de servidores. Hoje, qualquer pessoa que tente colocar em contêiner seus serviços e aplicativos do Windows que usam (gMSA) deve ingressar no domínio de seu host de contêiner para habilitar a funcionalidade.
  • Mas o usuário deve ficar atento. Isso pode causar problemas de escalabilidade e gerenciamento. O Windows Server 2022 oferece suporte a melhorias para (gMSA) para contêineres do Windows que permitem habilitar o suporte sem que o domínio se junte ao host.

Secured-core para dispositivos Azure IoT Edge

A Microsoft também apresentou o rótulo do dispositivo Edge Secured-core no Microsoft Ignite 2021 para identificar os dispositivos Azure IoT Edge, que atendem às especificações Secured-core.

De acordo com a empresa, “agora, os clientes corporativos que buscam dispositivos de Internet das Coisas (IoT) que atendem à barra de segurança definida pelo Azure podem identificar facilmente os modelos de dispositivos que possuem o rótulo Edge Secured-core no Catálogo de Dispositivos Azure”.

28 de novembro de 2020
por luizhenriquelima
0 comentários

Microsoft Pluton o novo chip de segurança para PCs Windows

Novo chip criptográfico de processadores promete aprimorar segurança de sistemas Windows no futuro

A Microsoft anunciou recentemente o Pluton, um chip que atua como processador secundário com foco em segurança. O recurso é simular ao Apple T2, e chegou para substituir o padrão Trusted Platform, utilizado há mais de 10 anos como ferramenta de criptografia do Windows. O novo chip já é utilizado no Xbox One e no sistema de computação na nuvem Azure Sphere e promete aumentar a segurança no sistema operacional da empresa. Confira a seguir mais detalhes sobre a nova tecnologia e saiba como ela pode proteger você no dia a dia.

O que é o Microsoft Pluton?

O Microsoft Pluton, chega como uma alternativa ao Trusted Platform, que utiliza chips criptográficos que atuam em computadores Windows sendo os responsáveis pela segurança de ferramentas como Windows Hello e Bitlocker. No entanto, com o avanço de técnicas de crimes cibernéticos, foi possível constatar que, em caso de furto ou qualquer oportunidade de acesso físico ao computador, seria possível burlar a segurança do Trusted Platform. Isso aconteceria por meio do barramento que realiza a comunicação entre os chips e o processador.