Vulnerabilità ampiamente sfruttate su MS Exchange Server

Alcuni cybercriminali stanno sfruttando quattro pericolose vulnerabilità di Microsoft Exchange per avere un punto d’appoggio nelle reti aziendali.

Microsoft ha rilasciato una patch fuori programma per risolvere numerose vulnerabilità presenti su Exchange Server. Secondo quanto afferma l’azienda, quattro di queste vulnerabilità sarebbero già state utilizzate in attacchi mirati, per questo installare le patch al più presto è di sicuro la decisione più saggia.

Qual è il rischio?

Le quattro vulnerabilità più pericolose già sfruttate consentono ai cybercriminali di effettuare un attacco in tre fasi. Prima accedono a un server Exchange, poi creano una web shell per l’accesso da remoto al server e infine utilizzano questo accesso per rubare dati dalla rete della vittima. Le vulnerabilità sono:

I criminali informatici si avvalgono di tutte e quattro le vulnerabilità; tuttavia, secondo Microsoft, a volte sostituiscono la prima fase di attacco con l’utilizzo di credenziali rubate e accedono al server senza sfruttare la vulnerabilità CVE-2021-26855.

La stessa patch corregge alcune altre vulnerabilità minori su Exchange che non sono direttamente collegate ad attacchi mirati attivi (per quanto ne sappiamo).

Chi è a rischio?

La versione su cloud di Exchange non è interessata da queste vulnerabilità, che rappresentano una minaccia solo per i server all’interno dell’infrastruttura. Inizialmente Microsoft aveva rilasciato aggiornamenti per Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e un ulteriore aggiornamento “Defense in Depth” per Microsoft Exchange Server 2010. Tuttavia, a causa della gravità dell’attacco, hanno esteso la patch anche su Exchange Server obsoleti.

Secondo i ricercatori di Microsoft, a sfruttare le vulnerabilità per rubare informazioni riservate sono stati i criminali informatici del gruppo Hafnium. I loro obiettivi includono grandi industrie statunitensi, ricercatori di malattie infettive, studi legali, organizzazioni no profit e analisti politici. Il numero esatto delle vittime non è ancora noto, ma secondo le fonti di KrebsOnSecurity parliamo di almeno 30.000 aziende negli Stati Uniti, tra cui piccole imprese, amministrazioni comunali e governi locali, la cui  sicurezza è stata violata utilizzando queste vulnerabilità. I nostri esperti hanno scoperto che a essere in pericolo non sono solo le aziende americane: i criminali informatici di tutto il mondo stanno già sfruttando queste vulnerabilità. Troverete maggiori informazioni sulla geografia dell’attacco nel nostro post su Securelist.

Come difendersi dagli attacchi su MS Exchange

  • Prima di tutto, installate la patch per Microsoft Exchange Server. Se la vostra azienda non può installare gli aggiornamenti, Microsoft raccomanda una serie di soluzioni alternative;
  • Secondo Microsoft, negare a risorse non affidabili, l’accesso al server Exchange sulla porta 443, o in generale limitare le connessioni dall’esterno alla rete aziendale, può fermare la fase iniziale dell’attacco. Ma tale metodo non aiuterà se gli i cybercriminali si trovano già all’interno dell’infrastruttura o se ottengono l’accesso di un utente con diritti di amministratore per eseguire un file dannoso;
  • Una buona soluzione di Endpoint Detection and Response (se avete esperti in azienda) o specialisti esterni che si occupano di Managed Detection and Response possono rilevare questi comportamenti dannosi;
  • Tenete sempre a mente che ogni computer connesso a Internet, sia esso server o workstation, ha bisogno di una soluzione di sicurezza per endpoint affidabile, in grado di gli exploit e di rilevare in modo proattivo i comportamenti dannosi.
Consigli