Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Exchange zero day bug:
microsoft rilascia le patch

Exchange zero day bug:
microsoft rilascia le patch

da Maurizio / mercoledì, 03 Marzo 2021 / Pubblicato il Cyber Security, HACKER
exchange zero day

Exchange zero day

Microsoft ha rilasciato aggiornamenti di sicurezza per tutte le versioni di Microsoft Exchange supportate che risolvono quattro vulnerabilità zero-day attivamente sfruttate in attacchi mirati.

Queste quattro vulnerabilità zero-day sono concatenate insieme per ottenere l’accesso ai server Microsoft Exchange, rubare la posta elettronica e impiantare ulteriore malware per un maggiore accesso alla rete.

Affinché l’attacco funzioni, gli aggressori remoti dovrebbero accedere a un server Microsoft Exchange in sede sulla porta 443. Se l’accesso è disponibile, gli attaccanti utilizzeranno le seguenti vulnerabilità per ottenere l’accesso remoto:[/vc_column_text][vc_empty_space][evc_icon_list][evc_icon_list_item icon_library=”fontawesome” icon_fontawesome=”fas fa-download” text=”CVE-2021-26855 è una vulnerabilità SSRF (server-side request forgery) in Exchange che ha consentito all’autore dell’attacco di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.” custom_link=”url:https%3A%2F%2Fmsrc.microsoft.com%2Fupdate-guide%2Fvulnerability%2FCVE-2021-26855|title:CVE-2021-26855|target:%20_blank|”][evc_icon_list_item icon_library=”fontawesome” icon_fontawesome=”fas fa-download” text=”CVE-2021-26857 è una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. La deserializzazione non sicura è il punto in cui i dati non attendibili controllabili dall’utente vengono deserializzati da un programma. Lo sfruttamento di questa vulnerabilità ha dato ad HAFNIUM la capacità di eseguire codice come SYSTEM sul server Exchange. Ciò richiede l’autorizzazione dell’amministratore o un’altra vulnerabilità da sfruttare.” custom_link=”url:https%3A%2F%2Fmsrc.microsoft.com%2Fupdate-guide%2Fvulnerability%2FCVE-2021-26857|title:CVE-2021-26857|target:%20_blank|”][evc_icon_list_item icon_library=”fontawesome” icon_fontawesome=”fas fa-download” text=”CVE-2021-26858 è una vulnerabilità di scrittura arbitraria di file post-autenticazione in Exchange. Se HAFNIUM potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.” custom_link=”url:https%3A%2F%2Fmsrc.microsoft.com%2Fupdate-guide%2Fvulnerability%2FCVE-2021-26858|title:CVE-2021-26858|target:%20_blank|”][evc_icon_list_item icon_library=”fontawesome” icon_fontawesome=”fas fa-download” text=”CVE-2021-27065 è una vulnerabilità di scrittura di file arbitraria post-autenticazione in Exchange. Se HAFNIUM potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.” custom_link=”url:https%3A%2F%2Fmsrc.microsoft.com%2Fupdate-guide%2Fvulnerability%2FCVE-2021-27065|title:CVE-2021-27065|target:%20_blank|”][/evc_icon_list][vc_empty_space][vc_column_text]Microsoft ha rilevato un gruppo di hacker “sponsorizzato” dalla Cina noto come Hafnium che utilizza questi attacchi contro le organizzazioni statunitensi per rubare dati.

“Storicamente, Hafnium prende di mira principalmente entità negli Stati Uniti allo scopo di esfiltrare informazioni da un certo numero di settori industriali, inclusi ricercatori in malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, gruppi di esperti politici e ONG“.

“Sebbene Hafnium abbia sede in Cina, svolge le sue operazioni principalmente da server privati ​​virtuali (VPS) in leasing negli Stati Uniti“, ha rivelato oggi Microsoft in un post sul blog.

Dopo aver ottenuto l’accesso a un server Microsoft Exchange vulnerabile, Hafnium installa una shell web che consente loro di rubare dati, caricare file ed eseguire quasi tutti i comandi sul sistema compromesso.

Hafnium eseguirà un dump della memoria dell’eseguibile LSASS.exe per raccogliere le credenziali memorizzate nella cache utilizzando questa shell web.

Quindi espongono le cassette postali rubando i dati dal server Exchange caricandoli  su servizi di condivisione file, come MEGA, dove poterli recuperare in seguito.

Infine, Hafnium crea una shell remota sui propri server per accedere alla macchina e alla sua rete interna.

A causa della gravità degli attacchi, Microsoft consiglia agli amministratori di “installare immediatamente questi aggiornamenti” per proteggere i server Exchange da questi attacchi.

Kevin Beaumont, analista senior di Microsoft Threat Intelligence, ha creato uno script Nmap che può essere utilizzato per eseguire la scansione di una rete alla ricerca di server Microsoft Exchange potenzialmente vulnerabili.

Per utilizzare lo script, una volta scaricato dalla sua pagina GitHub e salvato nella cartella scripts di nmap, quindi utilizza il comando nmap –script http-vuln-exchange.[/vc_column_text][vc_empty_space][evc_single_image image=”1190″ image_size=”large”][vc_empty_space][vc_column_text]Dopo aver determinato quali server Exchange devono essere aggiornati, è necessario assicurarsi che sui server siano installati un aggiornamenti cumulativi (CU) e un aggiornamento cumulativo (RU) attualmente supportati.

Gli amministratori possono trovare ulteriori informazioni sugli aggiornamenti supportati e su come installare le patch in un articolo del team di Microsoft Exchange pubblicato oggi.

Per rilevare se un server Microsoft Exchange è stato violato utilizzando queste vulnerabilità, Microsoft ha fornito i comandi PowerShell e console per analizzare i registri degli eventi / i registri di Exchange Server per le tracce dell’attacco.[/vc_column_text][vc_column_text]Euro Informatica S.p.A., leader in questo settore, tramite la sua divisione CyberTeam, può metterti a disposizione la decennale esperienza nel monitorare e identificare qualsiasi rischio remoto. Disponiamo di moltissime soluzioni e tecnologie, chiavi in mano, che permetteranno alla tua azienda di rendere da subito le soluzioni di smart working semplici e sicure, permettendo ai tuoi collaboratori di essere subito nelle condizioni di lavoro ottimali e sicure sia per loro ma soprattutto per tutta l’infrastruttura di rete della tua azienda.

Il nostro team è a tua disposizione per informazioni sui nostri servizi. Contattaci gratuitamente.

Maurizio

Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.

Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.

Tre caratteristiche che lo distinguono:

La passione/ossessione per le password
Ha chiamato Hash anche il suo gatto
Il papillon

Colore preferito? Verde, ovviamente!

Condividi
Taggato in: Microsoft, MICROSOFT EXCHANGE, Vulnerability, ZERO-DAY

Che altro puoi leggere

database password
Olimpiadi di Tokyo:
lo sport preferito come password
Eseguire backup regolarmente
I Dieci Cyber Comandamenti
I Dieci
Cyber Comandamenti

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • password intelligence

    Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • Il ransomware Magniber ora infetta gli utenti Windows
    tramite file JavaScript

    Una recente campagna dannosa che ha distribuito...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?