Nel mese di agosto il numero di utenti attaccati da exploit che prendono di mira le vulnerabilità nei server Microsoft Exchange è cresciuto del 170%, passando da 7.342 a 19.839.
Tutti i tentativi di attacco sono stati bloccati dai prodotti Kaspersky. Secondo gli esperti di Kaspersky, questa crescita esponenziale è legata all’aumento degli attacchi che sfruttano le vulnerabilità già presenti nel prodotto; nonché al fatto che gli utenti non risolvono subito le vulnerabilità del software, e così facendo ampliano la potenziale area di attacco.
Le vulnerabilità all’interno del Server Microsoft Exchange hanno già causato diversi problemi quest’anno. Il 2 marzo 2021 è stato individuato all’interno di Microsoft Exchange Server lo sfruttamento “in the wild” delle vulnerabilità zero-day, che sono state poi sfruttate in un’ondata di attacchi alle organizzazioni di tutto il mondo. Durante il 2021, Microsoft ha anche corretto una serie di vulnerabilità ProxyShell: CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207. Questo gruppo di vulnerabilità rappresenta una minaccia critica in quanto consentono ai threat actor di bypassare l’autenticazione ed eseguire un codice come utente privilegiato. Anche se le patch sono state già rilasciate tempo, i criminali informatici non hanno esitato a sfruttarle: ben 74.274 utenti Kaspersky hanno, infatti, riscontrato exploit per le vulnerabilità di MS Exchange negli ultimi sei mesi.
Inoltre, il 21 agosto la Cybersecurity and Infrastructure Security Agency (CISA) ha avvertito del fatto che, negli Stati Uniti, le vulnerabilità di ProxyShell sono state attivamente sfruttate dai criminali informatici in una recente ondata di attacchi. Nel suo advisory, pubblicato il 26 agosto, Microsoft ha spiegato che un server Exchange è vulnerabile se non esegue un aggiornamento cumulativo (CU) che abbia almeno il Security Update (SU) di maggio.
Utenti unici che hanno riscontrato attacchi a MS Exchange tra marzo e agosto 2021
Secondo la telemetria di Kaspersky, nell’ultima settimana estiva sono stati attaccati oltre 1.700 utenti al giorno utilizzando l’exploit ProxyShell, facendo crescere del 170% il numero di attacchi ad agosto 2021, rispetto a luglio 2021. Questi dati evidenziano il fatto che, se lasciate senza patch, queste vulnerabilità rappresentano un problema su larga scala.
I prodotti Kaspersky proteggono dagli exploit che sfruttano le vulnerabilità di ProxyShell con gli strumenti Behavior Detection e Exploit Prevention, e rilevano lo sfruttamento con i seguenti nomi:
PDM:Exploit.Win32.Generic
HEUR:Exploit.Win32.ProxyShell.*
HEUR:Exploit.*.CVE-2021-26855.*
Per proteggersi dagli attacchi che sfruttano queste vulnerabilità, Kaspersky consiglia di:
Aggiornare il prima possibile il Server Exchange
Focalizzare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell’esfiltrazione di dati su Internet.
Fare particolarmente attenzione al traffico in uscita per rilevare e connessioni dei criminali informatici.
Eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza
Utilizzare soluzioni come Kaspersky Endpoint Detection and Response e il servizio Kaspersky Managed Detection and Response, che aiutano a identificare e bloccare gli attacchi nelle fasi iniziali, prima che i criminali possano raggiungere i loro obiettivi
Utilizzare una soluzione di sicurezza degli endpoint affidabile, come Kaspersky Endpoint Security for Business, basata sulla prevenzione degli exploit, il rilevamento del comportamento e un motore di risoluzione dei problemi in grado di ripristinare le azioni dannose. KESB dispone anche di meccanismi di autodifesa che possono impedirne la rimozione da parte dei criminali informatici.
