As recentes falhas sobre o software do Microsoft Exchange levaram a que centenas de servidores em todo o mundo ficassem potencialmente comprometidos, permitindo que os atacantes enviassem ficheiros de “shell” para os mesmos no sentido de os controlarem remotamente.
Mesmo depois de as correções para as falhas terem sido fornecidas pela Microsoft, os sistemas que tivessem sido afetados poderiam ainda manter os ficheiros maliciosos nos mesmos, ficando ainda assim comprometidos.
Ao que parece, o FBI não pretende que estes sistemas possam vir a ser usados para atividades maliciosas, tendo recentemente obtido permissão para remover os ficheiros maliciosos dos servidores infetados conhecidos sem que os donos dos mesmos tenham sido previamente notificados.
De acordo com o portal BleepingComputer, o Departamento de Justiça dos EUA autorizou o FBI a proceder com o acesso e remoção dos ficheiros enviados para servidores vulneráveis do Microsoft Exchange, sem que os donos dos mesmos tenham de ser notificados previamente.
As autoridades requereram a eliminação dos conteúdos através de um mandato, onde o ficheiro de shell usado pelos atacantes para obter acesso aos servidores seria o mesmo usado pelas autoridades para remover o conteúdo dos sistemas afetados.
O FBI, de acordo com o relatório do Departamento de Justiça, realiza primeiro uma cópia do ficheiro usado como prova, antes de tentar remover o mesmo usando o próprio ficheiro criado pelo ataque.
No documento fornecido pelo FBI ao Departamento de Justiça, as autoridades afirmam que a maioria dos sistemas que foram afetados pela vulnerabilidade do Exchange e ainda possuem estes ficheiros acessíveis, além de estarem de portas abertas para possíveis ataques e roubos de dados, possivelmente tratam-se de sistemas onde os donos dos mesmos não tiveram o cuidado suficiente para remover todos os vestígios da falha – e provavelmente nunca o irão fazer. A eliminação do ficheiro pelas autoridades fornece um maior nível de segurança não apenas para esses sistemas, mas também para outros utilizadores, evitando que os mesmos possam ser usados como meio de entrada para outros ataques.
A ação do FBI parece ser tomar medidas primeiro, e informar depois. Uma vez removidos os conteúdos dos servidores afetados, as autoridades tentam então entrar em contacto com os donos desses mesmos sistemas para alertar sobre a falha e notificar das ações tomada.
Nenhum comentário
Seja o primeiro!