Um novo relatório da Acronis Threat Research Unit descobriu uma vulnerabilidade nas configurações do Microsoft Exchange Online que pode permitir ataques de falsificação de e-mail.
Esse problema afeta principalmente usuários com uma configuração híbrida do Exchange local e do Exchange Online, e aqueles que utilizam soluções de segurança de e-mail de terceiros.
Em julho de 2023, a Microsoft introduziu uma grande mudança na forma como lida com DMARC (Domain-based Message Authentication, Reporting, and Conformance) no Microsoft Exchange. Esta atualização foi planejada para reforçar a segurança, aprimorando a forma como os servidores de e-mail verificam a legitimidade dos e-mails recebidos. Infelizmente, apesar da orientação clara da Microsoft, um número considerável de usuários ainda não implementou essas medidas de segurança, deixando seus sistemas vulneráveis a várias ameaças cibernéticas, particularmente falsificação de e-mail.
Como a configuração incorreta leva a vulnerabilidades
O Microsoft Exchange Online pode ser usado como um servidor de e-mail sem a necessidade de servidores Exchange locais ou soluções antispam de terceiros. No entanto, as vulnerabilidades surgem quando o Exchange Online é usado em ambientes híbridos – onde os servidores Exchange locais se comunicam com o Exchange Online por meio de conectores – ou quando um servidor MX de terceiros está envolvido.
O e-mail continua sendo um alvo importante para os criminosos cibernéticos, e é por isso que protocolos de segurança robustos são essenciais para proteger contra spoofing. Três protocolos críticos foram desenvolvidos para essa finalidade: Sender Policy Framework (SPF) verifica se um servidor de e-mail está autorizado a enviar e-mails em nome de um domínio usando registros DNS; DomainKeys Identified Mail (DKIM) permite que os e-mails sejam assinados digitalmente, verificando se eles se originam de um servidor autorizado e confirmando a autenticidade do domínio do remetente; e Domain-based Message Authentication, Reporting, and Conformance (DMARC) determina como os e-mails que falham nas verificações SPF ou DKIM devem ser tratados, especificando ações como rejeição ou quarentena para aumentar a segurança do e-mail.
Para entender como os protocolos de segurança de e-mail funcionam juntos, considere um fluxo de e-mail típico: o Servidor A inicia uma solicitação DNS para localizar o servidor Mail Exchange (MX) do domínio do destinatário (por exemplo, ourcompany.com), então envia um e-mail de “user@company.com” para “user2@ourcompany.com” por meio de um dos servidores MX (Servidor B). O Servidor B então verifica o e-mail verificando se ele se origina de um servidor autorizado (verificação SPF), garantindo a presença de uma assinatura DKIM válida e seguindo as ações especificadas pela política DMARC do domínio. Se o Servidor A não estiver listado nos registros SPF, não tiver uma assinatura DKIM válida ou se a política DMARC estiver definida como “Rejeitar”, o Servidor B deve rejeitar o e-mail. No entanto, se o servidor de recebimento estiver configurado incorretamente, essas verificações de segurança podem ser ignoradas, permitindo que o e-mail seja entregue e representando um risco de segurança significativo.
Em um ambiente híbrido, o assistente de configuração híbrida do Exchange normalmente cria conectores de entrada e saída padrão para facilitar a troca de dados entre o Exchange Online e os servidores Exchange locais. No entanto, podem ocorrer configurações incorretas, especialmente se os administradores não estiverem cientes dos riscos potenciais ou não bloquearem sua organização do Exchange Online para aceitar e-mails somente de fontes confiáveis.
Os conectores de entrada desempenham um papel crucial na determinação de como os e-mails recebidos são manipulados pelo servidor Exchange. Em ambientes híbridos, os administradores devem garantir que os conectores corretos estejam em vigor e configurados corretamente. Isso inclui a criação de um conector de parceiro com endereços IP ou certificados específicos para garantir que apenas e-mails de fontes confiáveis sejam aceitos. Sem essas proteções, conectores de entrada mal configurados podem permitir que e-mails maliciosos ignorem as verificações de segurança, levando a possíveis comprometimentos.
Ao usar um servidor MX de terceiros, é essencial configurar a instância do Exchange Online de acordo com as recomendações da Microsoft . Não fazer isso pode expor a organização a ataques de spoofing, pois os e-mails podem ignorar verificações de segurança críticas como DMARC, SPF e DKIM.
Por exemplo, se o registro MX do domínio do destinatário do locatário apontar para uma solução de segurança de e-mail de terceiros em vez da Microsoft, as políticas DMARC não serão aplicadas. Como resultado, e-mails de fontes não verificadas podem ser entregues, aumentando o risco de ataques de phishing e spoofing.
Para se proteger contra falsificação de e-mail e riscos relacionados, os administradores devem fortalecer seu ambiente do Exchange tomando as seguintes medidas importantes:
- Crie conectores de entrada adicionais seguindo as diretrizes da Microsoft para restringir e-mails recebidos a fontes confiáveis.
- Implemente filtragem aprimorada para conectores para aplicar verificações de segurança adicionais.
- Implante regras de prevenção contra perda de dados (DLP) e transporte para evitar e-mails não autorizados e proteger informações confidenciais.
- Realize auditorias de segurança regulares para garantir que as configurações do servidor Exchange estejam alinhadas com as práticas de segurança mais recentes.
