# Operation Exchange Marauder - ProxyLogon 2021 > [!info] Visão Geral > **Operation Exchange Marauder** foi uma campanha de espionagem cibernetica conduzida pelo grupo chines [[g0125-silk-typhoon]] que explorou quatro vulnerabilidades zero-day encadeadas no Microsoft Exchange Server, coletivamente conhecidas como **ProxyLogon**. Em escala sem precedentes, a campanha comprometeu mais de **250.000 servidores Exchange** em todo o mundo antes que a Microsoft lancasse patches de emergência em 2 de marco de 2021. O chain de exploits ([[cve-2021-26855|CVE-2021-26855]], [[cve-2021-26857|CVE-2021-26857]], [[cve-2021-26858|CVE-2021-26858]], [[cve-2021-27065|CVE-2021-27065]]) permitia acesso sem autenticação, execução remota de código e instalacao de web shells [[s0020-china-chopper]], abrindo acesso persistente aos emails e redes corporativas. A gravidade levou a Casa Branca a emitir comúnicado urgente e desencadeou uma corrida para remediar servidores expostos globalmente. ## Visão Geral A Operation Exchange Marauder foi uma das operações de espionagem cibernética mais impactantes de 2021: o grupo [[g0125-silk-typhoon]] (HAFNIUM) explorou quatro vulnerabilidades zero-day encadeadas no Microsoft Exchange Server — coletivamente chamadas de ProxyLogon — para comprometer mais de 250.000 servidores em todo o mundo antes que a Microsoft liberasse patches emergênciais em 2 de março de 2021. O primeiro zero-day, [[cve-2021-26855|CVE-2021-26855]], permitia contornar autenticação via SSRF (Server-Side Request Forgery), e os três subsequentes possibilitavam escalonamento de privilégios e escrita arbitrária de arquivos — resultando em Remote Code Execution completo sem qualquer credencial válida. A campanha foi operada em duas fases distintas. Na fase inicial, até fevereiro de 2021, o [[g0125-silk-typhoon]] conduziu operações cirúrgicas contra alvos de alto valor nos EUA — principalmente pesquisadores de doenças infecciosas, escritórios de advocacia, empresas de defesa e ONGs. Após a Microsoft revelar as vulnerabilidades em 2 de março, uma explosão de outros atores — incluindo grupos de ransomware, cryptominers e pelo menos cinco grupos APT distintos — iniciaram varreduras massivas para explorar servidores não-patchados antes que organizações pudessem se defender. O resultado foi um dos maiores eventos de comprometimento em massa da história. O impacto no Brasil e LATAM foi direto: pesquisadores identificaram milhares de servidores Exchange expostos na região, e o CERT.br emitiu alertas urgentes. Organizações governamentais brasileiras que dependiam de Exchange on-premises foram particularmente vulneráveis — o web shell [[s0020-china-chopper]] instalado pelo ProxyLogon permitia acesso persistente mesmo após patching, exigindo varredura ativa de sistemas comprometidos. O caso tornou-se referência para a necessidade de atualização urgente de sistemas críticos e para os riscos de manter infraestrutura de email on-premises sem capacidade de resposta rápida a vulnerabilidades. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Scan de Exchange<br/>expostos - porta 443"] --> B["SSRF<br/>CVE-2021-26855<br/>Bypass de autenticação"] B --> C["RCE<br/>CVE-2021-26857/58/65<br/>Execução remota de código"] C --> D["Persistência<br/>Web Shell China Chopper<br/>Acesso permanente via HTTPS"] D --> E["Exfiltração<br/>Dumps de caixas postais<br/>7-Zip e WinRAR para MEGA"] E --> F["Acesso a Rede<br/>Credenciais de AD<br/>Movimento lateral interno"] ``` > **Atores:** [[g0125-silk-typhoon]] | **Malware:** [[s0020-china-chopper]] | **CVEs:** [[cve-2021-26855|CVE-2021-26855]], [[cve-2021-26857|CVE-2021-26857]], [[cve-2021-26858|CVE-2021-26858]], [[cve-2021-27065|CVE-2021-27065]] ## Cronologia ```mermaid timeline title Operation Exchange Marauder - Linha do Tempo 2021 2021-01-06 : Devcore descobre chain ProxyLogon e reporta a Microsoft 2021-01 : HAFNIUM comeca exploração silenciosa de alvos prioritarios 2021-02-26 : Outros grupos comecam a explorar - exploração massiva acelera 2021-03-02 : Microsoft lanca patches de emergencia fora do ciclo normal 2021-03-02 : Casa Branca emite comúnicado urgente sobre Exchange 2021-03-12 : Microsoft lanca ferramenta EOMT para remediar servidores 2021-03-25 : NSA, CISA, FBI emitem aviso conjunto sobre Exchange 2021-07 : EUA, UE, NATO atribuem exploração inicial ao HAFNIUM-MSS ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2021-26855 SSRF para bypass de autenticação | | Web Shell | [[t1505-003-web-shell\|T1505.003]] | China Chopper como acesso persistente pos-exploração | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts PS para post-exploitation e movimento lateral | | Archive via Utility | [[t1560-001-archive-via-utility\|T1560.001]] | 7-Zip e WinRAR para compactar emails antes de exfiltrar | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Upload de dumps para servicos de nuvem (MEGA) | | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Extração de credenciais do Active Directory | ## Vitimas e Impacto A ProxyLogon foi o maior comprometimento de servidores de email da historia moderna: **Escala:** - Mais de 250.000 servidores Exchange comprometidos antes dos patches - Alvos em mais de 100 paises - Setores criticos: [[government|governo]], [[defense|defesa]], [[healthcare|saúde]], [[financial|financeiro]], [[technology|tecnologia]] **Alvos HAFNIUM (foco inicial):** - Contratantes de defesa dos EUA - Escritorios de advocacia (acesso a propriedade intelectual litigiosa) - Pesquisadores de doencas infecciosas - ONGs de politica externa **Impacto na escala massiva (outros grupos pos-patch):** - Após o patch Microsoft, mais de 10 grupos distintos exploraram ProxyLogon em massa - Inclui grupos de ransomware, cryptomining e espionagem de varios paises - Web shells permaneceram ativos em servidores nao remediados por meses ## Relevância LATAM e Brasil A Operation Exchange Marauder teve impacto significativo no Brasil e LATAM: - **Servidores brasileiros comprometidos**: Centenas de organizacoes brasileiras com Exchange Server on-premises foram afetadas antes dos patches. Entidades [[government|governamentais]], hospitais ([[healthcare|saúde]]) e empresas [[financial|financeiras]] foram prioritariamente atingidas - **Urgencia de migracao para nuvem**: O incidente acelerou a migracao de organizacoes brasileiras do Exchange on-premises para Microsoft 365 (Exchange Online), menos vulnerável a ataques de rede direta - **Impacto regulatorio LGPD**: Comprometimentos de servidores Exchange contendo dados pessoais criaram obrigações de notificação sob a [[lgpd|LGPD]], evidênciando a necessidade de monitoramento continuo de sistemas de email - **Web shells remanescentes**: Ate meses após o lancamento dos patches, scans realizados pelo [[government|CERT.br]] identificaram servidores Exchange brasileiros ainda com web shells ativos ## Mitigação **Acoes emergênciais (para quem nao remediou):** - Aplicar patches MS21-026 imediatamente ou migrar para Exchange Online - Usar ferramenta Microsoft EOMT para detecção de comprometimento - Auditar todos os web shells em diretorios IIS do Exchange **Controles preventivos:** - Aplicar [[m1051-update-software|M1051]] - patches de emergência para Exchange devem ter SLA de 24-72h - Implementar [[m1030-network-segmentation|M1030]] - servidores Exchange nao devem ter acesso direto a redes internas criticas - Usar [[m1050-exploit-protection|M1050]] - WAF na frente de servidores Exchange públicos - Monitorar via [[ds-0015-application-log|DS-0015]] - acesso anomalo a OWA e EWS do Exchange ## Referências - [1](https://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers/) Microsoft Security - HAFNIUM Targeting Exchange Servers (2021) - [2](https://blog.devcore.io/2021/03/proxylogon-full-details/) Devcore - ProxyLogon Full Details (2021) - [3](https://www.mandiant.com/resources/blog/exchange-exploitation-targeting-multiple-sectors) Mandiant - Exchange Exploitation Targeting Multiple Sectors (2021) - [4](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-062a) CISA - Mitigaté Microsoft Exchange Server Vulnerabilities AA21-062A (2021) - [5](https://unit42.paloaltonetworks.com/exchange-server-vulnerabilities-exploitation/) Unit 42 - Exchange Server Vulnerabilities Exploitation (2021) - [6](https://www.bleepingcomputer.com/news/security/at-least-30-000-us-organizations-newly-hacked-via-microsoft-exchange/) BleepingComputer - 30.000 US Orgs Hacked via Exchange (2021) - [7](https://securelist.com/exchange-marauder/101096/) Kaspersky Securelist - Exchange Marauder (2021)