Falle di Exchange: sono almeno 10 i gruppi hacker all'attacco

Falle di Exchange: sono almeno 10 i gruppi hacker all'attacco

Prosegue l'onda lunga della scoperta delle falle di Exchange Server. Molte realtà devono ancora correre ai ripari e gli hacker cercano di sfruttare questa fase prima che la finestra per l'attacco possa chiudersi una volta applicate le patch

di pubblicata il , alle 18:41 nel canale Sicurezza
Microsoft
 

Dopo la scoperta delle quattro vulnerabilità zero-day di Microsoft Exchange Server avvenuta nei giorni scorsi, si sta verificando un'intensificazione delle attività di hacker e criminali che cercano di sfruttare ancora l'esistenza di queste falle presso le infrastrutture di chi ancora non è corso ai ripari.

Decine di migliaia di realtà in tutto il mondo sono state colpite da attacchi informatici che hanno sfuttato le vulnerabilità con lo scopo di compromettere reti e probabilmente ottenere persistenza sui sistemi. La prima ondata di attacchi, che si è verificata fin da gennaio quando ancora le vulnerabilità non erano pubblicamente note ma erano già state segnalate a Microsoft, è stata attrbuita ad un gruppo di hacker conosciuto con il nome di Hafnium.

Rincorsa a sfruttare le vulnerabilità di Exchange: almeno 10 gruppi individuati

Ma in realtà, come già accennato in precedenza, Hafnium non è l'unico gruppo che ha preso di mira le vulnerabilità di Exchange e i sistemi che ancora non hanno ricevuto gli opportuni aggiornamenti di sicurezza. La società ESET ha individuato almeno 10 gruppi che stanno attivamente tentando di compromettere i sistemi ancora vulnerabili tra i quali Winniti Group, Calypso, Tick e LuckyMouse. La maggior parte dei gruppi di hacking identificati si occupano per lo più di spionaggio informatico mentre uno è dedicato alla diffusione di miner occulti di criptovaluta

Le analisi condotte da ESET hanno evidenziato la presenza di webshell che consentono il controllo da remoto tramite un browser web, su oltre 5 mila server unici dislocati in oltre 115 paesi. L'aspetto importante è che molte di queste webshell sono state rilevati solamente la scorsa settimana, esattamente da quando si sono intensificate le attività degli hacker che cercano di sfruttare la finestra temporale tra la divulgazione delle vulnerabilità con la conseguente disponibilità delle patch correttive e il momento in cui le patch saranno effettivamente applicate a tutti i sistemi vulnerabili.


Rilevazioni delle webshell per Paese - Fonte: ESET

Chiaramente per pura probabilità è lecito immaginare che vi siano ancora altri gruppi, oltre a quelli che ESET è riuscita a individuare, all'opera per sfruttare la situazione ed è proprio questo il motivo per cui la priorità di tutte le realtà che potrebbero, anche solo potenzialmente, essere toccate dal problema è quella di aggiornare i sistemi il prima possibile.

Aggiornare il prima possibile non basta: cercare anche gli indicatori di compromissione

Exchange permette alle aziende di utilizzare risorse quali email, calendario e strumenti di comunicazione e di fatto in molte situazioni rappresenta il cuore delle comunicazione aziendale di imprese piccole e grandi. E' il motivo per cui un attacco che sfrutta le quattro vulnerabilità venute a galla nei giorni scorsi ha il potenziale di causare danni significativi alle vittime: la possibilità di intrufolarsi nella rete aziendale e stabilire un punto d'appoggio e di persistenza mette gli attaccanti nelle condizioni di poter condurre veramente qualsiasi azione essi vogliano, dallo spionaggio alla distruzione dell'operatività.

In ogni caso anche l'applicazione tempestiva delle patch di sicurezza non è un processo privo di ostacoli. Nel momento in cui si mette mano ad una parte chiave dell'infrastruttura comunicativa aziendale è bene tenere presente quali potrebbero essere i tempi di inattività dei server e gli eventuali problemi di compatibilità con altre applicazioni già esistenti. Spesso l'applicazione delle patch non può essere estemporanea ma deve essere pianificata proprio per tali motivi, e ciò offre agli hacker lo spazio per poter sfruttare l'opportunità di condurre l'attacco.

Ed è poi opportuno osservare che anche nel momento in cui le patch sono state applicate, è bene condurre una analisi profonda dei log dei server alla ricerca di indicatori che possano indicare l'avvenuta compromissione, così come la ricerca di eventuali backdoor o punti d'accesso o ancora elementi di persistenza che potrebbero consentire agli attaccanti di mantenere il controllo dei sistemi anche a seguito dell'installazione delle patch di sicurezza.

Microsoft ha reso inoltre disponibili su GitHub una serie di strumenti per affrontare il problema, dalla verifica delle vulnerabilità alle mitigazioni temporanee.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
lollo912 Marzo 2021, 08:23 #1
spero di no per loro, ma mi sa che tanti di questi clienti tra un mese saranno ancora non patchati

c'è la diffusa fissazione di avere tutto on-premise "perché sì" senza poi avere reparti IT all'altezza del compito, che non è affatto banale (a parte i tedeschi che quasi sono obbligati).
poi però grandi levate di scudi quando MS annunciava la dismissione degli exchange server "puri" non ibridi

che dire... settimane d'oro per i secops adesso, ho sentito sparare anche 500€/h

tralascio le colpe di MS, che pure ci sono, ma ormai è tardi per fare tanti distinguo: prima le soluzioni, poi i processi.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^