O que é o ataque a servidores Exchange

No último dia 24 de junho de 2025, a Positive Technologies revelou que grupos de hackers estão explorando servidores Microsoft Exchange expostos publicamente, injetando keyloggers em JavaScript nas páginas de login do Outlook para capturar credenciais de acesso.

Como funciona

Principais pontos do ataque

• Foram identificados 65 servidores comprometidos em 26 países, incluindo governos, empresas de TI, setor industrial e logística.
• Dois tipos de keyloggers têm sido encontrados: um que grava os dados em arquivo local acessível pela internet e outro que envia automaticamente os dados para servidores externos.
• As invasões têm origem em vulnerabilidades conhecidas do Exchange, como ProxyShell e ProxyLogon, incluindo falhas desde 2014 até 2021.
• Hackers mantêm o acesso por longos períodos, coletando também cookies, User-Agent e timestamps, exfiltrando dados sem gerar tráfego suspeito.

Esses ataques seguem um padrão observado em campanhas anteriores, com alvos afetados desde 2021, mas continuam explorando servidores sem atualização.

Sinais de alerta / Como identificar

É essencial monitorar continuamente os logs e a integridade das páginas de login. Qualquer modificação em arquivos ou scripts deve ser investigada imediatamente.

O que fazer agora / Como se proteger

Dica de prevenção

1. Atualize imediatamente seu Exchange Server com todas as correções de segurança mais recentes.
2. Restrinja o acesso externo ao serviço — use VPN e firewalls para evitar que a interface de login fique exposta diretamente à internet.
3. Monitore logs e integridade das páginas de login e autenticação.
4. Implemente proteção avançada, como WAF (Web Application Firewall) e ferramentas EDR/XDR.

Prevenção / Boas práticas

Manter seu sistema atualizado, restringir acessos e monitorar atividades são passos cruciais para proteger seu ambiente Exchange contra invasões.

Perguntas frequentes

Quais são as principais vulnerabilidades exploradas neste ataque?

As principais vulnerabilidades são ProxyShell e ProxyLogon, que afetam servidores Exchange desde 2014 até 2021.

Como posso identificar se meu servidor foi comprometido?

Monitore logs para alterações não autorizadas e verifique se há registros de acesso suspeitos nas páginas de login.

Quais medidas de segurança imediatas devem ser tomadas?

Implemente atualizações de segurança, restrinja o acesso externo e utilize ferramentas de monitoramento para detectar alterações suspeitas.

Conclusão

O ataque recente a 65 servidores Microsoft Exchange evidencia a persistência de hackers em explorar falhas conhecidas. A prevenção é possível através de atualizações, controle de acesso e monitoramento constante.

Conheça os nossos serviços e fortaleça sua defesa: acesse lcsec.io