L’FBI è entrata all’interno dei server “bucati” con la falla di Exchange all’insaputa dei gestori dei server. L’operazione è stata un successo, ma è la prima volta che accade una cosa simile, il paradosso dell’hacking.
Per comprendere meglio la situazione è utile fare un passo indietro: dallo scorso marzo si parla di una nuova minaccia per cui Microsoft sta mettendo in guardia le aziende.
Si chiama Hafnium, e indica un gruppo di cyber criminali cinesi che sfrutta le vulnerabilità zero-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime, accedendo alle caselle di posta elettronica delle aziende per sottrarne il contenuto.
Nonostante gli avvisi diramati a tutti i livelli, e nonostante il rilascio delle patch, migliaia di server esposti in rete dopo settimane non sono ancora stati bonificati. Può sembrare paradossale, e lo è, ma dagli ultimi report di sicurezza sembra ci siano ancora migliaia di aziende in tutto il mondo che hanno continuato ad utilizzare per settimane server compromessi, e hanno del tutto ignorato quanto successo.
Trattandosi di aziende americane, e considerando gli enormi rischi di sicurezza, l’FBI ha deciso, con il permesso della Corte Federale del Texas, di intervenire direttamente facendo qualcosa che nessuno aveva mai fatto prima. Ha usato gli stessi strumenti di accesso degli hacker per accedere ai server compromessi dalla webshell aperta e, una volta dentro i server, ha provveduto a bonificare il sistema rimuovendo gli elementi pericolosi. Poi è uscita, sigillando la porta.
Tutto questo senza aver chiesto il permesso agli amministratori dei server.
L’attacco avviene da remoto, senza bisogno di credenziali, e consente a qualsiasi malintenzionato di sfruttare i server a proprio piacimento. L’elevata diffusione di Exchange fa sì che siano molte le organizzazioni a rischio: solo in Italia sarebbero migliaia le aziende interessate.
Stando alle informazioni di pubblico dominio, l’attacco coinvolge i server Microsoft Exchange 2013, 2016 e 2019, mentre non interessa chi utilizza Microsoft Exchange Online. Hafnium entra nei sistemi attraverso la porta 443, nei casi in cui l’accesso sia disponibile, e sfrutta quattro vulnerabilità di Microsoft per ottenere accesso da remoto.
La tecnica utilizzata è l’apertura di una web shell che continua a funzionare finché rimane attiva, motivo per cui non è sufficiente applicare soltanto una patch ma verificare se il proprio server sia stato compromesso.
Secondo quanto riferito, l’attacco Hafnium ha lasciato una serie di backdoor che potrebbero consentire l’accesso ad altri hacker. Quindi, l’FBI ha approfittato delle stesse backdoor per introdursi all’interno dei server e scongiurare il ripetersi degli attacchi, come ha spiegato il portavoce del Dipartimento di Giustizia statunitense.
Il caso è interessante perché potrebbe anche costituire un precedente per le possibili reazioni ad attacchi hacker di grande portata, considerato che Microsoft ha impiegato un po’ a reagire; comunque, i clienti Microsoft Exchange Server hanno a disposizione ormai da più di un mese le indicazioni per mettere al sicuro i propri server.