Falle di Exchange Server peggio del previsto: oltre 60 mila realtà compromesse. C'è anche l'Autorità Bancaria Europea

Falle di Exchange Server peggio del previsto: oltre 60 mila realtà compromesse. C'è anche l'Autorità Bancaria Europea

Si ampliano le stime dell'impatto. Intanto tra le prime realtà colpite al di fuori degli USA c'è l'EBA. Microsoft forse ha agito in ritardo con l'emissione delle patch di sicurezza

di pubblicata il , alle 15:21 nel canale Sicurezza
Microsoft
 

Le prime stime di 30 mila realtà compromesse per via dello sfruttamento delle quattro falle di Exchange Server sono ora state riviste al rialzo: il problema potrebbe avere avuto un impatto doppio in tutto il mondo, e tra le realtà al di fuori dagli USA che fanno sapere di essere state colpite vi è l'Autorità Bancaria Europea (EBA - European Banking Authority), organismo EU che ha il compito di sorvegliare il mercato bancario del Vecchio Continente.

L'Autorità ha già avviato le indagini, affermando nel frattempo che l'infrastruttura di posta elettronica è stata protetta e per le informazioni al momento disponibili ritiene non vi sia stata "alcuna estrazione di dati" e che l'intrusione non si sia spinta oltre i server di posta elettronica. L'EBA ha messo offline il sistema di posta elettronica come misura precauzionale, ripristinandolo dopo aver applicato gli opportuni aggiornamenti di sicurezza. L'Autorità, comunica, resta comunque in stato di allerta continuando a monitorare la situazione.

Falle di Exchange: Microsoft in ritardo sul rilascio delle patch?

L'attacco, ad opera a quanto pare dal gruppo cinese Hafnium supportato dallo stato, è in corso sin dall'inizio di gennaio. Brian Krebs di KrebsOnSecurity ha cercato di ricostruire la successione temporale degli eventi, e ora emergono alcuni elementi che indicano come Microsoft avrebbe agito in ritardo in quanto a conoscenza delle vulnerabilità già nello stesso periodo. Le patch, lo ricordiamo, sono state distribuite lo scorso 2 marzo.

A quanto pare Microsoft non ha voluto rilasciare dichiarazioni circa le tempistiche di rilascio delle patch, limitandosi a reiterare la posizione già espressa in precedenza sulla situazione ovvero di essere al lavoro con il CISA e altre agenzie governative e società di sicurezza informatica per assistere i clienti nella risoluzione e mitigazione del problema.

Intanto la società di Redmond ha deciso di rilasciare aggiornamenti di sicurezza anche per le versioni meno recenti, e formalmente non più supportate, di Exchange Server. La società aveva rilasciato le patch per le versioni 2013, 2016 e 2019 di Exchange Server ma la situazione sembra richiedere l'intervento anche per le versioni precedenti. Gli aggiornamenti includono solamente le quattro patch per la risoluzione delle vulnerabilità CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065.

La gravità del problema richiede un intervento il più possibile tempestivo per l'applicazione delle patch correttive rilasciate da Microsoft. L'approccio operativo dovrebbe essere quello di presumere, a prescindere se sia accaduto o meno, di essere stati compromessi e di agire di conseguenza. Questo modus operandi è anche quello che il CISA (Cybersecurity and Infrastructure Security Agency del Dipartimento di Sicurezza Nazionale USA) esorta a seguire, tramite un messaggio su Twitter: "CISA esorta TUTTE le organizzazioni di TUTTI i settori a seguire le linee guida per affrontare il diffuso sfruttamento nazionale e internazionale delle vulnerabilità dei prodotti Microsoft Exchange Server. Un avversario può sfruttare questa vulnerabilità per compromettere la rete e rubare informazioni, crittografare i dati per il riscatto o persino eseguire un attacco distruttivo".

Ma la situazione potrebbe essere ancor peggiore: secondo MIT Technology Review il gruppo Hafnium non sarebbe l'unico a sfruttare le vulnerabilità, e anzi vi sarebbero almeno altri quattro gruppi hacker che hanno sfruttato e stanno sfruttando attivamente le falle. Purtroppo la superficie effettiva dell'impatto di questa azione non è ancora noto. Gli hacker avrebbero sfruttato le falle per installare malware e assicurarsi così la possibilità di accedere ai sistemi compromessi anche in un secondo momento.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
mattia.l09 Marzo 2021, 15:33 #1
L'attacco, ad opera a quanto pare dal gruppo cinese Hafnium [U]supportato dallo stato[/U]

Direi che i cinesi giocano abbastanza scorretti, ma se ne sono sicuri non possono chiedere spiegazioni ufficiali?
Axios200609 Marzo 2021, 15:46 #2
Microsoft forse ha agito in ritardo con l'emissione delle patch di sicurezza


Eh... si vede che il pc a cui lavoravano alle patch aveva Windows 10 e tra un bug ed una patch, si e' perso tempo...


essere state colpite vi è l'Autorità Bancaria Europea


Come? Non usano software scritti in Europa da programmatori europei?
DanieleG09 Marzo 2021, 16:13 #3
D'altronde, quando l'unica cosa che ti interessa è il cloud, il resto rimane indietro

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^