Aviso de Ameaça de Cibersegurança: Ataque Global ao Microsoft Exchange

Tópicos:

27 jun. 2025

Uma campanha cibernética recente comprometeu mais de 70 servidores Microsoft Exchange em 26 países, injetando keyloggers baseados em JavaScript nas páginas de login do Outlook Web Access (OWA). Reveja os detalhes deste Aviso de Ameaça de Cibersegurança para se proteger contra estas vulnerabilidades.

Qual é a ameaça?

Esta campanha, ativa desde pelo menos 2021, tem como alvo servidores Microsoft Exchange com OWA habilitado. Hackers injetam keyloggers maliciosos baseados em JavaScript nas páginas de login do OWA para capturar nomes de utilizador e palavras-passe à medida que os utilizadores fazem login. As credenciais roubadas são armazenadas localmente no servidor ou exfiltradas usando túneis DNS ou bots Telegram. A campanha visa principalmente agências governamentais, empresas de TI e setores industriais, explorando vulnerabilidades não corrigidas do Exchange. A sua natureza furtiva e baixa taxa de deteção tornam a correção imediata, auditoria de scripts e monitorização de tráfego críticas para a defesa.

Por que é isto digno de nota?

O código JavaScript malicioso foi concebido para ler e processar dados de formulários de autenticação, enviando subsequentemente esta informação através de um pedido XHR para uma página designada num Exchange Server comprometido. O código-fonte da página de destino inclui uma função de manipulador que captura o pedido recebido e escreve os dados para um ficheiro no servidor.

A cadeia de ataque começa por explorar vulnerabilidades conhecidas no Microsoft Exchange Server, como o ProxyShell, para injetar código keylogger na página de login. A identidade dos agentes de ameaça responsáveis permanece desconhecida neste momento. Algumas das vulnerabilidades usadas como arma são listadas abaixo:

CVE-2014-4078 – Vulnerabilidade de Bypass de Funcionalidade de Segurança do IIS
CVE-2020-0796 – Vulnerabilidade de Execução Remota de Código no Cliente/Servidor Windows SMBv3.
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 – Vulnerabilidade de Execução Remota de Código do Microsoft Exchange Server (ProxyLogon).
CVE-2021-31206 – Vulnerabilidade de Execução Remota de Código no Microsoft Exchange Server.
CVE-2021-31207, CVE-2021-34473 e CVE-2021-34523 – Vulnerabilidade de Bypass de Funcionalidade de Segurança do Microsoft Exchange Server (ProxyShell).

O que é exposição ou risco?

Este ficheiro, que contém os dados roubados, pode ser acedido a partir de uma rede externa. Foram também descobertas variantes equipadas com capacidades locais de registo de teclas, que recolhem cookies de utilizador, sequências de User-Agent e carimbos de data/hora. Uma vantagem significativa deste método é o risco mínimo de deteção. Não envolve tráfego de saída na transmissão da informação.

Até agora, pelo menos 22 servidores comprometidos foram identificados em agências governamentais. Outros setores afetados incluem TI, logística e indústria. Os principais países-alvo são Vietname, Rússia, Taiwan, China, Paquistão, Líbano, Austrália, Zâmbia, Países Baixos e Turquia.

Quais são as recomendações?

A Barracuda recomenda as seguintes ações para manter o seu ambiente seguro contra esta ameaça:

Aplique os patches de segurança mais recentes a todos os servidores Microsoft Exchange. Verifique regularmente a existência de atualizações e aplique-as prontamente para mitigar vulnerabilidades conhecidas.
Limitar o acesso aos servidores Exchange apenas àqueles que realmente precisam. Utilizar controlos de acesso baseados em funções (RBAC) para aplicar o princípio do menor privilégio.
Adote uma deteção e resposta a ameaças alargada, como Barracuda Managed XDR Endpoint Security, para monitorizar endpoints em busca de atividades suspeitas, incluindo detetar e bloquear scripts maliciosos, a instalação de software não autorizado como keyloggers, e detetar tentativas de login ou padrões de acesso invulgares que possam indicar uma conta ou servidor comprometido.
Implemente a autenticação multifator (MFA) para todos os utilizadores que acedem ao servidor Exchange para adicionar uma camada adicional de segurança para além das palavras-passe.

Como pode a Barracuda protegê-lo contra esta ameaça?

A Barracuda apresentou recentemente o seu serviço de Managed Vulnerability Security, uma solução totalmente gerida que deteta e prioriza proactivamente vulnerabilidades em servidores, endpoints, dispositivos de rede e infraestrutura na cloud. À luz de ameaças como a campanha de keylogger JavaScript no OWA, este serviço ajuda a identificar servidores Exchange não corrigidos e configurações incorretas antes que os atacantes possam explorá-los. Quando combinado com as capacidades de deteção de ameaças em tempo real e resposta a incidentes do Barracuda Managed XDR, permite uma estratégia de defesa em profundidade, fechando lacunas de segurança e identificando eventos de login suspeitos ou movimentos laterais. Esta abordagem unificada—varrimento de vulnerabilidades emparelhado com o motor de deteção do XDR—ajuda as organizações a estar à frente de ameaças avançadas, reduzir a complexidade de fornecedores e fortalecer a sua postura de segurança global.

Referências

Para mais informações detalhadas, por favor visite os seguintes links:

Se tiver alguma dúvida sobre este Cybersecurity Threat Advisory, não hesite em entrar em contacto com o Centro de Operações de Segurança da Barracuda Managed XDR.

Nota: Esta publicação no blog foi originalmente publicada em SmarterMSP.com.

Mandeep Gujral

Mandeep é Analista de Cibersegurança na Barracuda MSP. Ela é uma especialista em segurança, trabalhando na nossa Equipa Azul dentro do nosso Centro de Operações de Segurança. Mandeep apoia a entrega do nosso serviço XDR e é altamente qualificada na análise de eventos de segurança para detetar ameaças cibernéticas, ajudando a proteger os nossos parceiros e os seus clientes.