Approfondiamo l’attacco hacker ai danni di Microsoft che avevamo riportato qui.
Quattro vulnerabilità zero-day in Microsoft Exchange Server vengono attivamente sfruttate da un gruppo di hacker sponsorizzato dallo stato dalla Cina e sembrano essere state adottate da altri cybera-criminali in attacchi diffusi.
Sebbene non si creda in alcun modo di essere collegato all’attacco alla catena di fornitura di SolarWinds che ha avuto un impatto su circa 18.000 organizzazioni in tutto il mondo – finora – si teme che i ritardi nell’applicazione di patch ai server vulnerabili possano avere un impatto simile, o peggio, sulle aziende.
Il 2 marzo, Microsoft ha rilasciato patch per affrontare quattro gravi vulnerabilità nel software Microsoft Exchange Server. All’epoca, la società affermava che i bug venivano attivamente sfruttati in “attacchi limitati e mirati“.
Microsoft Exchange Server è una casella di posta in arrivo, un calendario e una soluzione di collaborazione. Gli utenti vanno da giganti aziendali a piccole e medie imprese in tutto il mondo.
Sebbene siano state apportate correzioni, l’ambito della potenziale compromissione di Exchange Server dipende dalla velocità e dall’adozione delle patch e il numero di vittime stimate continua a crescere.
Quali sono le vulnerabilità e perché sono importanti?
Le vulnerabilità critiche influiscono su Exchange Server 2013, Exchange Server 2016 ed Exchange Server 2019. Tuttavia, Exchange Online non è interessato.
- CVE-2021-26855: CVSS 9.1: una vulnerabilità SSRF (Server Side Request Forgery) che porta all’invio di richieste HTTP predisposte da aggressori non autenticati. I server devono essere in grado di accettare connessioni non attendibili sulla porta 443 affinché il bug venga attivato.
- CVE-2021-26857: CVSS 7.8: una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata di Exchange, che consente la distribuzione di codice arbitrario in SYSTEM. Tuttavia, questa vulnerabilità deve essere combinata con un’altra o devono essere utilizzate credenziali rubate.
- CVE-2021-26858: CVSS 7.8: vulnerabilità di scrittura di file arbitraria post-autenticazione per la scrittura sui percorsi.
- CVE-2021-27065: CVSS 7.8: una vulnerabilità di scrittura arbitraria di file post-autenticazione per la scrittura sui percorsi.
Se utilizzate in una catena di attacchi, tutte queste vulnerabilità possono portare a Remote Code Execution (RCE), dirottamento del server, backdoor, furto di dati e potenzialmente ulteriore distribuzione di malware.
In sintesi, Microsoft afferma che gli aggressori proteggono l’accesso a un server Exchange tramite questi bug o le credenziali rubate e possono quindi creare una shell web per dirottare il sistema ed eseguire comandi in remoto.
“Queste vulnerabilità vengono utilizzate come parte di una catena di attacchi. L’attacco iniziale richiede la capacità di effettuare una connessione non attendibile alla porta 443 del server Exchange. Questa può essere protetta limitando le connessioni non attendibili o configurando una VPN per separare il server Exchange dall’accesso esterno. L’utilizzo di questa mitigazione proteggerà solo contro la parte iniziale dell’attacco; altre parti della catena possono essere attivate se un utente malintenzionato ha già accesso o può convincere un amministratore a eseguire un file dannoso.”
Microsoft
Chi sono gli hacker dietro questi attacchi?
Microsoft afferma che gli attacchi che utilizzano i difetti dello zero-day sono stati ricondotti ad Afnio.
Hafnium è un gruppo cinese per la minaccia persistente avanzata (APT) sponsorizzato dallo stato, descritto dalla società come un “attore altamente qualificato e sofisticato“.
Sebbene Hafnium sia originario della Cina, il gruppo utilizza una rete di server privati virtuali (VPS) situati negli Stati Uniti per cercare di nascondere la sua vera posizione. Le entità precedentemente prese di mira dal gruppo includono think tank, organizzazioni non profit, appaltatori della difesa e ricercatori.
Come puoi controllare i tuoi server e il loro stato di vulnerabilità? Cosa puoi fare ora?
Microsoft ha invitato gli amministratori IT e i clienti ad applicare immediatamente le correzioni per la sicurezza. Tuttavia, solo perché le correzioni vengono applicate ora, ciò non significa che i server non siano già stati sottoposti a backdoor o altrimenti compromessi.
Sono disponibili anche guide provvisorie sulle opzioni di mitigazione se l’applicazione di patch immediatamente non è possibile.
Il colosso di Redmond ha anche pubblicato su GitHub uno script a disposizione degli amministratori IT per l’esecuzione che include indicatori di compromissione (IOC) legati alle quattro vulnerabilità. Gli IoC sono elencati separatamente qui.
Il 3 marzo CISA ha emesso una direttiva di emergenza che richiedeva alle agenzie federali di analizzare immediatamente tutti i server che eseguono Microsoft Exchange e di applicare le correzioni fornite dall’azienda.
Se ci sono indicatori di comportamenti sospetti risalenti al 1° settembre 2020, la CISA richiede alle agenzie di disconnetterli da Internet per mitigare il rischio di ulteriori danni.
Microsoft continua a indagare e man mano che verranno alla luce ulteriori informazioni, aggiorneremo.