{"id":22606,"date":"2025-07-02T00:05:00","date_gmt":"2025-07-02T03:05:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22606"},"modified":"2025-06-26T18:13:53","modified_gmt":"2025-06-26T21:13:53","slug":"hackers-invadem-mais-de-65-servidores-microsoft","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/07\/basico\/hackers-invadem-mais-de-65-servidores-microsoft\/","title":{"rendered":"Hackers invadem mais de 65 servidores Microsoft"},"content":{"rendered":"\n

Hackers invadem mais de 65 servidores Microsoft Exchange para roubo de credenciais<\/strong>
Pesquisadores da Positive Technologies detectaram uma campanha global na qual invasores comprometeram dezenas de servidores Exchange expostos \u00e0 internet, injetando keyloggers em JavaScript diretamente nas p\u00e1ginas de login do Outlook Web Access (OWA). A a\u00e7\u00e3o foi observada em pelo menos 65 alvos em 26 pa\u00edses<\/strong>, configurando uma opera\u00e7\u00e3o em larga escala<\/span>.<\/p>\n

\u00a0<\/p>\n

Dois tipos de keyloggers em uso<\/strong>
O ataque utiliza dois m\u00e9todos distintos de coleta de credenciais: um que armazena os dados capturados em arquivos hospedados no pr\u00f3prio servidor Exchange, acess\u00edveis pela internet, e outro que envia as credenciais diretamente para servidores externos em tempo real<\/span> .<\/p>\n

\u00a0<\/p>\n

Persist\u00eancia da campanha desde 2021<\/strong>
A an\u00e1lise aponta que essa ofensiva n\u00e3o \u00e9 recente: come\u00e7ou em maio de 2024 com foco em entidades na \u00c1frica e Oriente M\u00e9dio, e tem registros de atividades desde 2021. O alvo inclui ag\u00eancias governamentais, bancos, empresas de TI e institui\u00e7\u00f5es de ensino<\/span>.<\/p>\n

\u00a0<\/p>\n

Explorando vulnerabilidades conhecidas<\/strong>
Para obter acesso e inserir o keylogger, os invasores se aproveitam de falhas j\u00e1 documentadas no Exchange, como vulnerabilidades da fam\u00edlia ProxyShell e ProxyLogon, al\u00e9m de brechas no IIS e no SMBv3, como CVE\u20112014\u20114078, CVE\u20112020\u20110796 e v\u00e1rias do ciclo de 2021<\/span>.<\/p>\n

\u00a0<\/p>\n

Modo de opera\u00e7\u00e3o do keylogger injetado<\/strong>
O c\u00f3digo JavaScript malicioso captura os dados do formul\u00e1rio de login e os envia via XHR para uma p\u00e1gina no pr\u00f3prio servidor comprometido, onde s\u00e3o salvos em um arquivo. Alternativamente, alguns variantes usam bots do Telegram ou t\u00faneis DNS para exfiltrar credenciais sem tr\u00e1fego suspeito<\/span>.<\/p>\n

\u00a0<\/p>\n

Setores e pa\u00edses mais atingidos<\/strong>
Entre os 65 servidores afetados, 22 pertencem a \u00f3rg\u00e3os governamentais<\/strong>. Empresas de TI, log\u00edstica e ind\u00fastria tamb\u00e9m foram alvo. Os pa\u00edses com maior incid\u00eancia incluem Vietn\u00e3, R\u00fassia, Taiwan, China, Paquist\u00e3o, L\u00edbano, Austr\u00e1lia, Z\u00e2mbia, Pa\u00edses Baixos e Turquia<\/span>.<\/p>\n

\u00a0<\/p>\n

Baixa chance de detec\u00e7\u00e3o e alto risco de vazamento<\/strong>
O m\u00e9todo utilizado pelos invasores \u2014 especialmente quando os dados s\u00e3o armazenados localmente ou via canais corriqueiros como DNS \u2014 reduz drasticamente a chance de detec\u00e7\u00e3o. Os keyloggers tamb\u00e9m podem coletar cookies e cabe\u00e7alhos de requisi\u00e7\u00e3o, aumentando o escopo do acesso extra\u00eddo<\/span>.<\/p>\n

\u00a0<\/p>\n

Medidas urgentes de prote\u00e7\u00e3o<\/strong>
Para conter o ataque, especialistas recomendam:<\/span>
\u2022 Aplicar atualiza\u00e7\u00f5es nos servidores Exchange imediatamente;<\/span>
\u2022 Auditar o c\u00f3digo fonte das p\u00e1ginas de login;<\/span>
\u2022 Monitorar tr\u00e1fego DNS e HTTPS em busca de exfiltra\u00e7\u00f5es at\u00edpicas;<\/span>
\u2022 Restringir acesso ao OWA por IP ou VPN;<\/span>
\u2022 Implementar MFA para dificultar uso de credenciais roubadas<\/span>.<\/p>\n

\u00a0<\/p>\n

Conclus\u00e3o<\/strong><\/p>\n

prote\u00e7\u00e3o multilayer \u00e9 essencial<\/strong>
Essa campanha demonstra como servidores desatualizados continuam sendo um alvo f\u00e9rtil para ataques furtivos e eficazes. A prote\u00e7\u00e3o contra esse tipo de amea\u00e7a exige corre\u00e7\u00f5es r\u00e1pidas, monitoramento ativo e controle de acesso rigoroso. Somente uma abordagem de defesa em m\u00faltiplas camadas pode garantir seguran\u00e7a efetiva no ambiente Exchange exposto.<\/p>\n

\u00a0<\/p>\n

Fonte e imagens: https:\/\/thehackernews.com\/2025\/06\/hackers-target-65-microsoft-exchange.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Hackers invadem mais de 65 servidores Microsoft Exchange para roubo de credenciaisPesquisadores da Positive Technologies detectaram uma campanha global na qual invasores comprometeram dezenas de servidores Exchange expostos \u00e0 internet, injetando keyloggers em JavaScript diretamente nas p\u00e1ginas de login do Outlook Web Access (OWA). A a\u00e7\u00e3o foi observada em pelo menos 65 alvos em 26 […]<\/p>\n","protected":false},"author":2,"featured_media":22610,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-22606","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22606","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22606"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22606\/revisions"}],"predecessor-version":[{"id":22611,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22606\/revisions\/22611"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22610"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22606"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22606"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22606"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}