Quattro falle di Exchange Server compromettono 30 mila realtà: potrebbero essere molte di più

Quattro falle di Exchange Server compromettono 30 mila realtà: potrebbero essere molte di più

Un attacco in corso da due mesi che interessa almeno 30 mila realtà tra uffici governativi ed imprese. Ma l'impatto potrebbe essere molto più grave

di pubblicata il , alle 16:01 nel canale Sicurezza
Microsoft
 

Quattro falle di sicurezza presenti in Exchange Server di Microsoft hanno portato alla violazione delle caselle email di oltre 30 mila tra realtà governative e commerciali statunitensi: è quanto emerge da un analisi del popolare ricercatore di sicurezza Brian Krebs divulgata tramite il blog KrebsOnSecurity.

L'azione degli hacker sarebbe in corso sin dallo scorso 6 gennaio ed intensificatosi nelle passate settimane. Le quattro falle sono state riparate da Microsoft tramite una patch lo scorso 2 marzo e nel giro di tre giorni dall'emissione delle patch, l'attacco ha preso una piega molto più grave con gli hacker che hanno incrementato gli sforzi per attaccare qualsiasi server Exchange vulnerabile riuscissero a trovare non solo negli USA ma anche a livello mondiale. Krebs sottolinea che vi sono elevate probabilità di compromissione per coloro i quali fanno uso di Exchange Server e ancora non hanno applicato le patch correttive.

Il problema riguarda server che eseguono Exchange Server 2013, 2016 o 2019. La società di Redmond sottolinea che le vulnerabilità hanno consentito agli hacker non solo di accedere e compromettere account di posta, ma anche installare malware per avere la possibilità di ottenere l'accesso ai sistemi compromessi anche in un secondo momento. Microsoft afferma che le vulnerabilità sono state sfruttate da un gruppo cinese denominato "Hafnium", che sembrerebbe essere supportato dallo stato.

Anche Jake Sullivan, consigliere per la sicurezza nazionale della Casa Bianca e Chris Krebs (è un caso di omonimia, non v'è nessun legame con il blog KrebsOnSecurity), ex direttore della Cybersecurity and Infrastructure Security Agency hanno divulgato tweet sull'accaduto, a conferma della gravità della situazione. Microsoft ha confermato che l'accaduto non è in alcun modo legato dalla vicenda SolarWinds avvenuta verso la fine del 2020.

Il colosso di Redmond ha fatto sapere di essere al lavoro con società di sicurezza e agenzie governative per assistere al meglio i clienti nelle procedure di risoluzione e mitigazione del problema e che la protezione migliore è "applicare gli aggiornamenti il prima possibile a tutti i sistemi interessati".

In ogni caso non è chiaro quale possa essere la reale portata dell'accaduto, ma da più parti si parla di un impatto potenzialmente molto ampio che potrebbe coinvolgere dipartimenti di polizia, ospedali, uffici amministrativi ma in generale chiunque operi autonomamente un server Exchange. Anche gli sforzi di ripristino potrebbero essere particolarmente onerosi. Della faccenda si è occupato anche Wired, che parla di "decine di migliaia" di server di posta elettronica violati.

E' molto probabile che informazioni e dettagli sull'accaduto, come l'elenco delle realtà colpite e i potenziali danni e pericoli, emergeranno nei prossimi giorni.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
latilou8508 Marzo 2021, 16:46 #1
qui da me patchati tutti i server Mercoledì, per fortuna non siamo stati colpiti.
retuor09 Marzo 2021, 23:17 #2
Non mi è del tutto chiaro cosa devo cercare dentro c:\inetpub\wwwroot\aspnet_client\system_web\ per capire se sono stato compromesso...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^