🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e a Agência de Segurança Nacional (NSA), juntamente com parceiros internacionais da Austrália e do Canadá, divulgaram orientações para proteger as instâncias locais do Microsoft Exchange Server contra exploração potencial.
“Ao restringir o acesso administrativo, implementar a autenticação multifatorial, impor configurações rigorosas de segurança de transporte e adotar os princípios do modelo de segurança de confiança zero (ZT), as organizações podem reforçar significativamente as suas defesas contra potenciais ataques cibernéticos”, disse a CISA.
As agências disseram que atividades maliciosas direcionadas ao Microsoft Exchange Server continuam ocorrendo, com instâncias desprotegidas e mal configuradas enfrentando o impacto dos ataques. As organizações são aconselhadas a desativar servidores Exchange locais ou híbridos em fim de vida após a transição para o Microsoft 365.
Algumas das melhores práticas descritas estão listadas abaixo -
Mantenha atualizações de segurança e cadência de patches
Migrar servidores Exchange em fim de vida
Certifique-se de que o Serviço de Mitigação de Emergência do Exchange permaneça habilitado
Aplicar e manter a linha de base do Exchange Server, as linhas de base de segurança do Windows e as linhas de base de segurança do cliente de email aplicáveis
Habilite solução antivírus, Windows Antimalware Scan Interface (AMSI), Attack Surface Reduction (ASR) e AppLocker e App Control for Business, Endpoint Detection and Response e recursos anti-spam e anti-malware do Exchange Server
Restrinja o acesso administrativo ao Exchange Admin Center (EAC) e ao PowerShell remoto e aplique o princípio do menor privilégio
Fortaleça a autenticação e a criptografia configurando Transport Layer Security (TLS), HTTP Strict Transport Security (HSTS), Extended Protection (EP), Kerberos e Server Message Block (SMB) em vez de NTLM e autenticação multifator
Desabilitar o acesso remoto do PowerShell por usuários no Exchange Management Shell (EMS)
“Proteger os servidores Exchange é essencial para manter a integridade e confidencialidade das comunicações e funções empresariais”, observaram as agências. “Avaliar e fortalecer continuamente a postura de segurança cibernética desses servidores de comunicação é fundamental para se manter à frente da evolução das ameaças cibernéticas e garantir uma proteção robusta do Exchange como parte do núcleo operacional de muitas organizações”.
CISA atualiza alerta CVE-2025-59287
A orientação chega um dia depois que a CISA atualizou seu alerta para incluir informações adicionais relacionadas ao CVE-2025-59287, uma falha de segurança recentemente corrigida no componente Windows Server Update Services (WSUS) que pode resultar na execução remota de código.
A agência recomenda que as organizações identifiquem servidores suscetíveis à exploração, apliquem a atualização de segurança fora de banda lançada pela Microsoft e investiguem sinais de atividade de ameaça em suas redes.
Monitore e verifique atividades suspeitas e processos filhos gerados com permissões de nível SYSTEM, especialmente aqueles originados de wsusservice.exe e/ou w3wp.exe
Monitore e verifique processos aninhados do PowerShell usando comandos do PowerShell codificados em base64
O desenvolvimento segue um relatório da Sophos de que os agentes de ameaças estão explorando a vulnerabilidade para coletar dados confidenciais de organizações dos EUA que abrangem uma variedade de setores, incluindo universidades, tecnologia, manufatura e saúde. A atividade de exploração foi detectada pela primeira vez em 24 de outubro de 2025, um dia após a Microsoft lançar a atualização.
Nesses ataques, descobriu-se que os invasores aproveitam servidores Windows WSUS vulneráveis para executar comandos do PowerShell codificados em Base64 e exfiltram os resultados para um endpoint de site webhook[.], corroborando outros relatórios da Darktrace, Huntress e Palo Alto Networks Unit 42.
A empresa de segurança cibernética disse ao The Hacker News que identificou seis incidentes nos ambientes de seus clientes até o momento, embora pesquisas adicionais tenham sinalizado pelo menos 50 vítimas.
“Esta atividade mostra que os agentes de ameaças agiram rapidamente para explorar esta vulnerabilidade crítica no WSUS para coletar dados valiosos de organizações vulneráveis”, disse Rafe Pilling, diretor de inteligência de ameaças da Sophos Counter Threat Unit, ao The Hacker News em um comunicado.
"É possível que este tenha sido um teste inicial ou uma fase de reconhecimento, e que os atacantes estejam agora a analisar os dados que recolheram para identificar novas oportunidades de intrusão. Não estamos a ver mais exploração em massa neste momento, mas ainda é cedo, e os defensores devem tratar isto como um aviso prévio. As organizações devem garantir que os seus sistemas estão totalmente corrigidos e que os servidores WSUS estão configurados de forma segura para reduzir o risco de exploração."
Michael Haag, principal engenheiro de pesquisa de ameaças da Splunk, de propriedade da Cisco, observou em uma postagem no X que o CVE-2025-59287 “é mais profundo do que o esperado” e que eles encontraram uma cadeia de ataque alternativa que envolve o uso do Microsoft
“Ao restringir o acesso administrativo, implementar a autenticação multifatorial, impor configurações rigorosas de segurança de transporte e adotar os princípios do modelo de segurança de confiança zero (ZT), as organizações podem reforçar significativamente as suas defesas contra potenciais ataques cibernéticos”, disse a CISA.
As agências disseram que atividades maliciosas direcionadas ao Microsoft Exchange Server continuam ocorrendo, com instâncias desprotegidas e mal configuradas enfrentando o impacto dos ataques. As organizações são aconselhadas a desativar servidores Exchange locais ou híbridos em fim de vida após a transição para o Microsoft 365.
Algumas das melhores práticas descritas estão listadas abaixo -
Mantenha atualizações de segurança e cadência de patches
Migrar servidores Exchange em fim de vida
Certifique-se de que o Serviço de Mitigação de Emergência do Exchange permaneça habilitado
Aplicar e manter a linha de base do Exchange Server, as linhas de base de segurança do Windows e as linhas de base de segurança do cliente de email aplicáveis
Habilite solução antivírus, Windows Antimalware Scan Interface (AMSI), Attack Surface Reduction (ASR) e AppLocker e App Control for Business, Endpoint Detection and Response e recursos anti-spam e anti-malware do Exchange Server
Restrinja o acesso administrativo ao Exchange Admin Center (EAC) e ao PowerShell remoto e aplique o princípio do menor privilégio
Fortaleça a autenticação e a criptografia configurando Transport Layer Security (TLS), HTTP Strict Transport Security (HSTS), Extended Protection (EP), Kerberos e Server Message Block (SMB) em vez de NTLM e autenticação multifator
Desabilitar o acesso remoto do PowerShell por usuários no Exchange Management Shell (EMS)
“Proteger os servidores Exchange é essencial para manter a integridade e confidencialidade das comunicações e funções empresariais”, observaram as agências. “Avaliar e fortalecer continuamente a postura de segurança cibernética desses servidores de comunicação é fundamental para se manter à frente da evolução das ameaças cibernéticas e garantir uma proteção robusta do Exchange como parte do núcleo operacional de muitas organizações”.
CISA atualiza alerta CVE-2025-59287
A orientação chega um dia depois que a CISA atualizou seu alerta para incluir informações adicionais relacionadas ao CVE-2025-59287, uma falha de segurança recentemente corrigida no componente Windows Server Update Services (WSUS) que pode resultar na execução remota de código.
A agência recomenda que as organizações identifiquem servidores suscetíveis à exploração, apliquem a atualização de segurança fora de banda lançada pela Microsoft e investiguem sinais de atividade de ameaça em suas redes.
Monitore e verifique atividades suspeitas e processos filhos gerados com permissões de nível SYSTEM, especialmente aqueles originados de wsusservice.exe e/ou w3wp.exe
Monitore e verifique processos aninhados do PowerShell usando comandos do PowerShell codificados em base64
O desenvolvimento segue um relatório da Sophos de que os agentes de ameaças estão explorando a vulnerabilidade para coletar dados confidenciais de organizações dos EUA que abrangem uma variedade de setores, incluindo universidades, tecnologia, manufatura e saúde. A atividade de exploração foi detectada pela primeira vez em 24 de outubro de 2025, um dia após a Microsoft lançar a atualização.
Nesses ataques, descobriu-se que os invasores aproveitam servidores Windows WSUS vulneráveis para executar comandos do PowerShell codificados em Base64 e exfiltram os resultados para um endpoint de site webhook[.], corroborando outros relatórios da Darktrace, Huntress e Palo Alto Networks Unit 42.
A empresa de segurança cibernética disse ao The Hacker News que identificou seis incidentes nos ambientes de seus clientes até o momento, embora pesquisas adicionais tenham sinalizado pelo menos 50 vítimas.
“Esta atividade mostra que os agentes de ameaças agiram rapidamente para explorar esta vulnerabilidade crítica no WSUS para coletar dados valiosos de organizações vulneráveis”, disse Rafe Pilling, diretor de inteligência de ameaças da Sophos Counter Threat Unit, ao The Hacker News em um comunicado.
"É possível que este tenha sido um teste inicial ou uma fase de reconhecimento, e que os atacantes estejam agora a analisar os dados que recolheram para identificar novas oportunidades de intrusão. Não estamos a ver mais exploração em massa neste momento, mas ainda é cedo, e os defensores devem tratar isto como um aviso prévio. As organizações devem garantir que os seus sistemas estão totalmente corrigidos e que os servidores WSUS estão configurados de forma segura para reduzir o risco de exploração."
Michael Haag, principal engenheiro de pesquisa de ameaças da Splunk, de propriedade da Cisco, observou em uma postagem no X que o CVE-2025-59287 “é mais profundo do que o esperado” e que eles encontraram uma cadeia de ataque alternativa que envolve o uso do Microsoft
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisa #e #nsa #emitem #orientação #urgente #para #proteger #servidores #wsus #e #microsoft #exchange
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário