Falle di Exchange Server peggio del previsto: oltre 60 mila realtà compromesse. C'è anche l'Autorità Bancaria Europea
Si ampliano le stime dell'impatto. Intanto tra le prime realtà colpite al di fuori degli USA c'è l'EBA. Microsoft forse ha agito in ritardo con l'emissione delle patch di sicurezza
di Andrea Bai pubblicata il 09 Marzo 2021, alle 15:21 nel canale SicurezzaMicrosoft
Le prime stime di 30 mila realtà compromesse per via dello sfruttamento delle quattro falle di Exchange Server sono ora state riviste al rialzo: il problema potrebbe avere avuto un impatto doppio in tutto il mondo, e tra le realtà al di fuori dagli USA che fanno sapere di essere state colpite vi è l'Autorità Bancaria Europea (EBA - European Banking Authority), organismo EU che ha il compito di sorvegliare il mercato bancario del Vecchio Continente.
L'Autorità ha già avviato le indagini, affermando nel frattempo che l'infrastruttura di posta elettronica è stata protetta e per le informazioni al momento disponibili ritiene non vi sia stata "alcuna estrazione di dati" e che l'intrusione non si sia spinta oltre i server di posta elettronica. L'EBA ha messo offline il sistema di posta elettronica come misura precauzionale, ripristinandolo dopo aver applicato gli opportuni aggiornamenti di sicurezza. L'Autorità, comunica, resta comunque in stato di allerta continuando a monitorare la situazione.
Falle di Exchange: Microsoft in ritardo sul rilascio delle patch?
L'attacco, ad opera a quanto pare dal gruppo cinese Hafnium supportato dallo stato, è in corso sin dall'inizio di gennaio. Brian Krebs di KrebsOnSecurity ha cercato di ricostruire la successione temporale degli eventi, e ora emergono alcuni elementi che indicano come Microsoft avrebbe agito in ritardo in quanto a conoscenza delle vulnerabilità già nello stesso periodo. Le patch, lo ricordiamo, sono state distribuite lo scorso 2 marzo.
A quanto pare Microsoft non ha voluto rilasciare dichiarazioni circa le tempistiche di rilascio delle patch, limitandosi a reiterare la posizione già espressa in precedenza sulla situazione ovvero di essere al lavoro con il CISA e altre agenzie governative e società di sicurezza informatica per assistere i clienti nella risoluzione e mitigazione del problema.
Intanto la società di Redmond ha deciso di rilasciare aggiornamenti di sicurezza anche per le versioni meno recenti, e formalmente non più supportate, di Exchange Server. La società aveva rilasciato le patch per le versioni 2013, 2016 e 2019 di Exchange Server ma la situazione sembra richiedere l'intervento anche per le versioni precedenti. Gli aggiornamenti includono solamente le quattro patch per la risoluzione delle vulnerabilità CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065.
CISA urges ALL organizations across ALL sectors to follow guidance to address the widespread domestic and international exploitation of Microsoft Exchange Server product vulnerabilities; see CISA’s newly released web page for details. https://t.co/VwYqAKKUt6. #Cyber #InfoSec
— US-CERT (@USCERT_gov) March 9, 2021
La gravità del problema richiede un intervento il più possibile tempestivo per l'applicazione delle patch correttive rilasciate da Microsoft. L'approccio operativo dovrebbe essere quello di presumere, a prescindere se sia accaduto o meno, di essere stati compromessi e di agire di conseguenza. Questo modus operandi è anche quello che il CISA (Cybersecurity and Infrastructure Security Agency del Dipartimento di Sicurezza Nazionale USA) esorta a seguire, tramite un messaggio su Twitter: "CISA esorta TUTTE le organizzazioni di TUTTI i settori a seguire le linee guida per affrontare il diffuso sfruttamento nazionale e internazionale delle vulnerabilità dei prodotti Microsoft Exchange Server. Un avversario può sfruttare questa vulnerabilità per compromettere la rete e rubare informazioni, crittografare i dati per il riscatto o persino eseguire un attacco distruttivo".
Ma la situazione potrebbe essere ancor peggiore: secondo MIT Technology Review il gruppo Hafnium non sarebbe l'unico a sfruttare le vulnerabilità, e anzi vi sarebbero almeno altri quattro gruppi hacker che hanno sfruttato e stanno sfruttando attivamente le falle. Purtroppo la superficie effettiva dell'impatto di questa azione non è ancora noto. Gli hacker avrebbero sfruttato le falle per installare malware e assicurarsi così la possibilità di accedere ai sistemi compromessi anche in un secondo momento.
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDirei che i cinesi giocano abbastanza scorretti, ma se ne sono sicuri non possono chiedere spiegazioni ufficiali?
Eh... si vede che il pc a cui lavoravano alle patch aveva Windows 10 e tra un bug ed una patch, si e' perso tempo...
Come? Non usano software scritti in Europa da programmatori europei?
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".