Il 2 marzo Microsoft ha ufficialmente dichiarato l’esistenza vulnerabilità nel suo software di gestione delle comunicazioni Exchange Server. Da un mese si sono ripetuti gli attacchi zero day a grandi società, non ultimo quello ad Acer reso noto ieri.
Microsoft ha così rilasciato patch patch di emergenza per le vulnerabilità di Exchange Server per le versioni 2010, 2013, 2016 e 2019.
In genere, Microsoft rilascia gli aggiornamenti il Patch Tuesday, che si verifica il secondo martedì di ogni mese, ma l’annuncio sugli attacchi al software Exchange è arrivato il primo martedì del mese, a significare l’importanza della situazione.
In questo articolo abbiamo spiegato come Microsoft consiglia di porre rimedio.
Microsoft ha anche intrapreso il passo insolito di rilasciare una patch per l’edizione 2010, nonostante il supporto fosse terminato a ottobre.
Questo implica che le vulnerabilità sfruttate dagli aggressori si trovano nella base di codice di Microsoft Exchange Server da più di 10 anni, come hanno osservato diversi analisti.
Gli hacker avevano inizialmente perseguito obiettivi specifici, ma a febbraio hanno iniziato a cercare quanti più server possibili con il software vulnerabile.
I cybercriminali stanno sfruttando questa vulnerabilità?
Microsoft ha affermato che il principale attaccante che sfrutta le vulnerabilità è Hafnium. Si tratta di un gruppo che, secondo Microsoft, è sostenuto dal governo cinese e viene ritenuto particolarmente preparato.
Secondo Palo Alto Networks, il numero stimato di organizzazioni potenzialmente compromesse è di decine di migliaia a livello globale. In particolare, queste vulnerabilità sono state attivamente sfruttate per almeno due mesi prima che le patch di sicurezza fossero disponibili.
Di conseguenza, anche se la patch è stata applicata immediatamente, i server Exchange potrebbero ancora essere compromessi. Inoltre, sulla base dei dati di telemetria raccolti dalla piattaforma Expanse di Palo Alto Networks, esistono ancora oltre 125.000 Exchange Server senza patch nel mondo.
Quando sono iniziati gli attacchi?
Gli attacchi al software Exchange sono iniziati all’inizio di gennaio, secondo la società di sicurezza Volexity, a cui Microsoft ha riconosciuto il merito di aver identificato alcuni dei problemi.
All’inizio di marzo 2021, Kaspersky ha rilevato attacchi di questo tipo rivolti ad oltre 1,200 utenti e ha osservato come questo numero sia in continua crescita. Il numero più alto di utenti presi di mira si trova in Germania con il 26,93%. L’Italia, l’Austria, la Svizzera e gli Stati Uniti sono tra gli altri Paesi maggiormente colpiti.
Come funziona l’attacco ad Exchange
Tom Burt, un vicepresidente di Microsoft, ha recentemente descritto in un post sul blog come un utente malintenzionato avrebbe eseguito più passaggi.
In primo luogo, otterrebbe l’accesso a un server Exchange con password rubate o utilizzando le vulnerabilità precedentemente sconosciute per camuffarsi da qualcuno che dovrebbe avere accesso. In secondo luogo, creerebbe una cosiddetta shell web per controllare da remoto il server compromesso. Terzo, userebbe quell’accesso remoto – eseguito dai server privati con sede negli Stati Uniti – per rubare dati dalla rete di un’organizzazione.
Trend Micro ricorda che chi utilizza Microsoft Exchange Server dovrebbe seguire una serie di passi per capire se è stato colpito.
Per prima cosa, è importante scansionare i log di Exchange Server con lo strumento di rilevamento Microsoft per verificare la compromissione.
Successivamente, si può effettuare una ricerca manuale con Trend Micro Vision One per verificare gli indicatori di compromissione conosciuti che sono associati a questa campagna.
La società ha infine predisposto una pagina dedicata con tutte le informazioni sulle protezioni Trend Micro specifiche per questa campagna cyber criminale.
