Quattro falle di Exchange Server compromettono 30 mila realtà: potrebbero essere molte di più

Un attacco in corso da due mesi che interessa almeno 30 mila realtà tra uffici governativi ed imprese. Ma l'impatto potrebbe essere molto più grave
di Andrea Bai pubblicata il 08 Marzo 2021, alle 16:01 nel canale SicurezzaMicrosoft
Quattro falle di sicurezza presenti in Exchange Server di Microsoft hanno portato alla violazione delle caselle email di oltre 30 mila tra realtà governative e commerciali statunitensi: è quanto emerge da un analisi del popolare ricercatore di sicurezza Brian Krebs divulgata tramite il blog KrebsOnSecurity.
L'azione degli hacker sarebbe in corso sin dallo scorso 6 gennaio ed intensificatosi nelle passate settimane. Le quattro falle sono state riparate da Microsoft tramite una patch lo scorso 2 marzo e nel giro di tre giorni dall'emissione delle patch, l'attacco ha preso una piega molto più grave con gli hacker che hanno incrementato gli sforzi per attaccare qualsiasi server Exchange vulnerabile riuscissero a trovare non solo negli USA ma anche a livello mondiale. Krebs sottolinea che vi sono elevate probabilità di compromissione per coloro i quali fanno uso di Exchange Server e ancora non hanno applicato le patch correttive.
Il problema riguarda server che eseguono Exchange Server 2013, 2016 o 2019. La società di Redmond sottolinea che le vulnerabilità hanno consentito agli hacker non solo di accedere e compromettere account di posta, ma anche installare malware per avere la possibilità di ottenere l'accesso ai sistemi compromessi anche in un secondo momento. Microsoft afferma che le vulnerabilità sono state sfruttate da un gruppo cinese denominato "Hafnium", che sembrerebbe essere supportato dallo stato.
This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03. Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode. https://t.co/865Q8cc1Rm
— Chris Krebs (@C_C_Krebs) March 5, 2021
Anche Jake Sullivan, consigliere per la sicurezza nazionale della Casa Bianca e Chris Krebs (è un caso di omonimia, non v'è nessun legame con il blog KrebsOnSecurity), ex direttore della Cybersecurity and Infrastructure Security Agency hanno divulgato tweet sull'accaduto, a conferma della gravità della situazione. Microsoft ha confermato che l'accaduto non è in alcun modo legato dalla vicenda SolarWinds avvenuta verso la fine del 2020.
Il colosso di Redmond ha fatto sapere di essere al lavoro con società di sicurezza e agenzie governative per assistere al meglio i clienti nelle procedure di risoluzione e mitigazione del problema e che la protezione migliore è "applicare gli aggiornamenti il prima possibile a tutti i sistemi interessati".
CISA is aware of widespread domestic and international exploitation of Microsoft Exchange Server vulnerabilities and urges scanning Exchange Server logs with Microsoft's IOC detection tool to help determine compromise. https://t.co/khgCR2LAs0. #Cyber #Cybersecurity #InfoSec
— US-CERT (@USCERT_gov) March 6, 2021
In ogni caso non è chiaro quale possa essere la reale portata dell'accaduto, ma da più parti si parla di un impatto potenzialmente molto ampio che potrebbe coinvolgere dipartimenti di polizia, ospedali, uffici amministrativi ma in generale chiunque operi autonomamente un server Exchange. Anche gli sforzi di ripristino potrebbero essere particolarmente onerosi. Della faccenda si è occupato anche Wired, che parla di "decine di migliaia" di server di posta elettronica violati.
E' molto probabile che informazioni e dettagli sull'accaduto, come l'elenco delle realtà colpite e i potenziali danni e pericoli, emergeranno nei prossimi giorni.
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".