Attacco a Microsoft Exchange, decine di migliaia i server ancora vulnerabili

Sono 4 le vulnerabilità sfruttate da Hafnium, un gruppo hacker legato alla Cina. Come sapere se si è stati colpiti e come comportarsi.



[ZEUS News - www.zeusnews.it - 16-03-2021]

exchange

Sono 30.000 le organizzazioni che potrebbero essere già state colpite negli Stati Uniti, ma il numero a livello globale potrebbe essere molto più grande. L'ultimo controllo di Shodan da parte di Trend Micro ha rivelato che sono circa 63.000 i server esposti vulnerabili a questi exploit, mentre secondo Palo Alto Networks sarebbero oltre 125.000.

L'applicazione immediata delle patch disponibili deve essere una priorità assoluta, oppure, ove non fosse possibile, è necessario disconnettere tutti i server vulnerabili che potrebbero essere in esecuzione. Al momento, chiunque abbia un server Microsoft Exchange deve investigare per verificare se ci sono segni di compromissione.

Che cosa è successo?

I primi attacchi risalgono al 6 gennaio scorso, quando un nuovo gruppo di minacce, etichettato da Microsoft con il nome di "Hafnium", ha cominciato a sfruttare 4 bug zero-day all'interno di Microsoft Exchange Server.

Se il Microsoft Threat Intelligence Center (MSTIC) attribuisce la campagna iniziale a Hafium, un gruppo ritenuto sponsorizzato dallo stato e operante in Cina, altri team di intelligence, tra cui MSTIC e Unit 42, stanno anche osservando come altri gruppi di hacker stiano sfruttando queste vulnerabilità zero-day.

Le minacce utilizzavano dei virtual private server (VPS) negli Stati Uniti per nascondere la reale ubicazione. Microsoft ha fornito delle patch di emergenza la scorsa settimana. Le vulnerabilità possono essere sfruttate per eseguire codici, scrivere file, rubare dati e ulteriori azioni dannose come ad esempio la distribuzione di ransomware all'interno delle organizzazioni vittime. Le vulnerabilità infatti permettono di eseguire un codice arbitrario all'interno del contesto di Exchange Server e di dare accesso completo agli account di posta elettronica sul server.

In tutto il mondo c'è molta preoccupazione per la vasta portata di questa campagna cybercriminale e sono molte le istituzioni in allerta, come la Casa Bianca e la Cybersecurity and Infrastructure Security Agency (CISA).

Il numero stimato di organizzazioni potenzialmente compromesse è di decine di migliaia a livello globale. In particolare, queste vulnerabilità sono state attivamente sfruttate per almeno due mesi prima che le patch di sicurezza fossero disponibili. Di conseguenza, anche se la patch è stata applicata immediatamente, i server Exchange potrebbero ancora essere compromessi.

Secondo i dati raccolti da Palo Alto Networks, questa sarebbe la classifica dei paesi con il maggior numero di server Exchange vulnerabili confermati, con l'Italia al quinto posto:
- USA: 33000
- Germania: 21000
- Regno Unito: 7900
- Francia: 5100
- Italia: 4.600

Secondo invece una stima di Kaspersky, sarebbe l'Europa la più colpita. Il numero più alto di utenti presi di mira si trova in Germania con il 26,93%. L'Italia, l'Austria, la Svizzera e gli Stati Uniti sono tra gli altri Paesi maggiormente colpiti:

- Germania 26.93%
- Italia 9.00%
- Austria 5.72%
- Svizzera 4.81%
- Stati Uniti 4.73%

Come sapere se si è stati colpiti?

Microsoft ha inizialmente affermato che Hafnium ha preso di mira organizzazioni in settori come quello della ricerca sulle malattie infettive, dell'istruzione, della difesa, legal e NGO. Esiste però l'ipotesi che l'ondata di attacco più recente possa essere opera di un altro gruppo cyber criminale e si possa abbattere su settori con meno risorse per la cybersecurity, come le PMI o le organizzazioni governative locali.

Chi utilizza Microsoft Exchange Server può seguire i seguenti passi per scoprire se è stato colpito dall'attacco:

- Scansionare i log di Exchange Server con lo strumento di rilevamento Microsoft per verificare la compromissione.

- Effettuare una ricerca con strumenti come Trend Micro Vision One oppure Kaspersky Endpoint Detection and Response per verificare gli indicatori di compromissione conosciuti che sono associati a questa campagna.

Consultare la pagina dedicata con tutte le informazioni sulle protezioni specifiche per questa campagna cyber criminale. Un'altra risorsa utile è l'articolo di Unit 42, il threat intelligence team di Palo Alto Networks. Utile anche consultare questa pagina presso Securelist.

Come comportarsi in seguito all'analisi?

Se le scansioni non hanno rilevato alcuna compromissione è importante applicare le patch rilasciate da Microsoft il più in fretta possibile.

Se il sistema è invece stato colpito, bisogna attivare un piano di incident response:

- Nel caso non si disponga di un team di security interno, contattare immediatamente il vendor o il provider per un supporto.
- Se si dispone di un team per la risposta agli incidenti, seguire i loro consigli.
- Non utilizzare nessuna macchina senza che sia stata effettuata una scansione forense per accertare gli indicatori di compromissione.
- Contattare il team legal per le eventuali procedure di notifica violazione.

Anton Ivanov, VP Threat Research di Kaspersky, ha commentato a Zeus News: "Fin dall'inizio, ci era chiaro che i tentativi di sfruttare queste vulnerabilità sarebbero aumentati rapidamente ed è quello che stiamo osservando in questi giorni. Fino ad ora abbiamo rilevato questo tipo di attacchi in oltre un centinaio di Paesi situati in ogni parte del mondo. A causa della natura di queste vulnerabilità, numerose organizzazioni sono a rischio. Anche se gli attacchi iniziali miravano a target specifici non c'è motivo di pensare che gli attaccanti non vogliano provare a colpire altre organizzazioni con un server vulnerabile. Questi attacchi sono associati a un rischio elevato di furto di dati o anche ad attacchi ransomware. Per questo motivo le organizzazioni dovrebbero prevedere misure di protezione nel più breve tempo possibile".

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Hackerate 150mila videocamere di sorveglianza, tra cui quelle di Tesla
In aumento il phishing che usa il vaccino antiCovid come esca
Studenti e lavoratori in smart working nel mirino dei ransomware
Sciami di router nelle nostre case conoscono la nostra posizione
Sms svuota conto corrente: occhio alla truffa
Il lato umano del ransomware
Kobalos, la piccola ma insidiosa minaccia Linux
10 suggerimenti per proteggersi dagli attacchi DDoS
Data Privacy Day: 5 consigli per gestire e proteggere i dati
Campagna malware ancora in corso colpisce Linux, soprattutto in Italia
Il disastro tragicomico di Parler
I principali trend per la sicurezza informatica del 2021
Il phishing evolve verso il machine learning
Sito per testare la competenza di sicurezza informatica aveva falle di sicurezza informatica
Gli attacchi ransomware diventano sempre più sofisticati
La tecnologia at-home come gateway all'impresa
Windows 7 e Office 2010 sono ancora supportati, ma non da Microsoft
E se il tuo stipendio finisse nelle tasche di un hacker?
Ricercatore di sicurezza dice di aver indovinato la password di Trump su Twitter
Qnap, Nas vulnerabili alla falla Zerologon di Windows
Gli hacker sfruttano il Covid di Trump
4 dipendenti su 5 non intendono abbandonare lo smart working
Malware e codici QR: smartphone bersagli interessanti, utenti distratti
Ransomware blocca ospedale, muore una paziente
Il bug più serio mai scoperto in Windows
Un caso di ransomware finito bene offre lezioni utili per tutti
Duplicare una chiave col microfono dello smartphone
La maglietta del Camp
Post scritto da una IA inganna 26.000 persone
Favicon sfruttate per rubare i dati delle carte di credito
Violata Email.it: sottratti dati di 600.000 utenti, password comprese
Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari

Commenti all'articolo (3)

@Cesco67 In uno degli articoli linkati a quello di ZN, Volexity dichiara di aver rilevato l'anomalia in gennaio e di averla indagata subito rilevando che gli attacchi erano iniziati il 6 gennaio - data poi modificata in 3 gennaio - quindi si suppone che contestualmente a questa investigazione, la vulnerabilitÓ sia stata comunicata a MS.... Leggi tutto
28-3-2021 11:40

@Gladiator Essendo una vulnerabilitÓ 0-day non Ŕ detto che MS abbia avuto notizie dei primi attacchi appena sono stati eseguiti; probabilmente anche i sysadmin delle organizzazioni colpite se ne sono accorti diversi giorni dopo, IMHO
23-3-2021 17:56

e questo significa che, per due mesi, l'unica soluzione sicura era disconnettere tutti i server, ovvero non c'era neppure un workaround per gestire il transitorio. Leggi tutto
20-3-2021 15:37

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
D'estate che cos'Ŕ pi¨ importante per te?
Il frigorifero
Il ventilatore
Il condizionatore
L'antizanzare
La connessione a Internet anche in vacanza

Mostra i risultati (2885 voti)
Aprile 2021
Windows 10 rileverà la presenza dell'utente davanti al computer
Yahoo Answers chiude i battenti per sempre
Aggiornamento urgente per iPhone e iPad
Marzo 2021
La macchina di Anticitera
Hacker contro Richard Stallman, la macchina del fango
Robot assassini crescono
Tracker nelle app: cosa sta succedendo in Rete?
Recupero IVA: oltre il 50% non viene rivendicata
Quiz: sei in una zona senza copertura cellulare
Bitcoin, un dilemma etico
Hackerate 150mila videocamere di sorveglianza, tra cui quelle di Tesla
Personal killer robot
La “truffa alla nigeriana” è un classico. Del sedicesimo secolo
Hard disk a confronto con SSD nei data center
Sciami di router nelle nostre case conoscono la nostra posizione
Tutti gli Arretrati
Accadde oggi - 11 aprile


web metrics