Exchange zero day
Microsoft ha rilasciato aggiornamenti di sicurezza per tutte le versioni di Microsoft Exchange supportate che risolvono quattro vulnerabilità zero-day attivamente sfruttate in attacchi mirati.
Queste quattro vulnerabilità zero-day sono concatenate insieme per ottenere l’accesso ai server Microsoft Exchange, rubare la posta elettronica e impiantare ulteriore malware per un maggiore accesso alla rete.
Affinché l’attacco funzioni, gli aggressori remoti dovrebbero accedere a un server Microsoft Exchange in sede sulla porta 443. Se l’accesso è disponibile, gli attaccanti utilizzeranno le seguenti vulnerabilità per ottenere l’accesso remoto:[/vc_column_text][vc_empty_space][evc_icon_list][evc_icon_list_item icon_library=”fontawesome” icon_fontawesome=”fas fa-download” text=”CVE-2021-26855 è una vulnerabilità SSRF (server-side request forgery) in Exchange che ha consentito all’autore dell’attacco di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.” custom_link=”url:https%3A%2F%2Fmsrc.microsoft.com%2Fupdate-guide%2Fvulnerability%2FCVE-2021-26855|title:CVE-2021-26855|target:%20_blank|”][evc_icon_list_item icon_library=”fontawesome” icon_fontawesome=”fas fa-download” text=”CVE-2021-26857 è una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. La deserializzazione non sicura è il punto in cui i dati non attendibili controllabili dall’utente vengono deserializzati da un programma. Lo sfruttamento di questa vulnerabilità ha dato ad HAFNIUM la capacità di eseguire codice come SYSTEM sul server Exchange. Ciò richiede l’autorizzazione dell’amministratore o un’altra vulnerabilità da sfruttare.” custom_link=”url:https%3A%2F%2Fmsrc.microsoft.com%2Fupdate-guide%2Fvulnerability%2FCVE-2021-26857|title:CVE-2021-26857|target:%20_blank|”][evc_icon_list_item icon_library=”fontawesome” icon_fontawesome=”fas fa-download” text=”CVE-2021-26858 è una vulnerabilità di scrittura arbitraria di file post-autenticazione in Exchange. Se HAFNIUM potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.” custom_link=”url:https%3A%2F%2Fmsrc.microsoft.com%2Fupdate-guide%2Fvulnerability%2FCVE-2021-26858|title:CVE-2021-26858|target:%20_blank|”][evc_icon_list_item icon_library=”fontawesome” icon_fontawesome=”fas fa-download” text=”CVE-2021-27065 è una vulnerabilità di scrittura di file arbitraria post-autenticazione in Exchange. Se HAFNIUM potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.” custom_link=”url:https%3A%2F%2Fmsrc.microsoft.com%2Fupdate-guide%2Fvulnerability%2FCVE-2021-27065|title:CVE-2021-27065|target:%20_blank|”][/evc_icon_list][vc_empty_space][vc_column_text]Microsoft ha rilevato un gruppo di hacker “sponsorizzato” dalla Cina noto come Hafnium che utilizza questi attacchi contro le organizzazioni statunitensi per rubare dati.
“Storicamente, Hafnium prende di mira principalmente entità negli Stati Uniti allo scopo di esfiltrare informazioni da un certo numero di settori industriali, inclusi ricercatori in malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, gruppi di esperti politici e ONG“.
“Sebbene Hafnium abbia sede in Cina, svolge le sue operazioni principalmente da server privati virtuali (VPS) in leasing negli Stati Uniti“, ha rivelato oggi Microsoft in un post sul blog.
Dopo aver ottenuto l’accesso a un server Microsoft Exchange vulnerabile, Hafnium installa una shell web che consente loro di rubare dati, caricare file ed eseguire quasi tutti i comandi sul sistema compromesso.
Hafnium eseguirà un dump della memoria dell’eseguibile LSASS.exe per raccogliere le credenziali memorizzate nella cache utilizzando questa shell web.
Quindi espongono le cassette postali rubando i dati dal server Exchange caricandoli su servizi di condivisione file, come MEGA, dove poterli recuperare in seguito.
Infine, Hafnium crea una shell remota sui propri server per accedere alla macchina e alla sua rete interna.
A causa della gravità degli attacchi, Microsoft consiglia agli amministratori di “installare immediatamente questi aggiornamenti” per proteggere i server Exchange da questi attacchi.
Kevin Beaumont, analista senior di Microsoft Threat Intelligence, ha creato uno script Nmap che può essere utilizzato per eseguire la scansione di una rete alla ricerca di server Microsoft Exchange potenzialmente vulnerabili.
Per utilizzare lo script, una volta scaricato dalla sua pagina GitHub e salvato nella cartella scripts di nmap, quindi utilizza il comando nmap –script http-vuln-exchange.[/vc_column_text][vc_empty_space][evc_single_image image=”1190″ image_size=”large”][vc_empty_space][vc_column_text]Dopo aver determinato quali server Exchange devono essere aggiornati, è necessario assicurarsi che sui server siano installati un aggiornamenti cumulativi (CU) e un aggiornamento cumulativo (RU) attualmente supportati.
Gli amministratori possono trovare ulteriori informazioni sugli aggiornamenti supportati e su come installare le patch in un articolo del team di Microsoft Exchange pubblicato oggi.
Per rilevare se un server Microsoft Exchange è stato violato utilizzando queste vulnerabilità, Microsoft ha fornito i comandi PowerShell e console per analizzare i registri degli eventi / i registri di Exchange Server per le tracce dell’attacco.[/vc_column_text][vc_column_text]Euro Informatica S.p.A., leader in questo settore, tramite la sua divisione CyberTeam, può metterti a disposizione la decennale esperienza nel monitorare e identificare qualsiasi rischio remoto. Disponiamo di moltissime soluzioni e tecnologie, chiavi in mano, che permetteranno alla tua azienda di rendere da subito le soluzioni di smart working semplici e sicure, permettendo ai tuoi collaboratori di essere subito nelle condizioni di lavoro ottimali e sicure sia per loro ma soprattutto per tutta l’infrastruttura di rete della tua azienda.
Il nostro team è a tua disposizione per informazioni sui nostri servizi. Contattaci gratuitamente.
