FALLA IN MICROSOFT EXCHANGE

Migliaia di aziende sotto attacco hacker; Microsoft rilascia un mitigation tool

1616105034copertina.jpg

"Gli utenti che si affidano alla piattaforma Microsoft Exchange sono caldamente invitati ad aggiornare subito i loro dispositivi per arginare il rischio di attacchi”. Queste erano le parole che proferiva Microsoft qualche giorno fa segnalando una “falla” nei sistemi di sicurezza della piattaforma. Ma cos’è Exchange e come si è venuto a scoprire l’attacco? È un software server per la collaborazione tra utenti, e tra i principali servizi offerti troviamo: la gestione della posta elettronica, di calendari, e rubriche condivisibili tra i vari utenti di una rete aziendale. Il client più usato al mondo per connettersi a questo server è Microsoft Outlook, compreso nel pacchetto Office, che sfrutta il protocollo Mapi. Il Colosso dell’informatica si è trovato a dover fronteggiare tutto a un tratto numerose vulnerabilità nella sicurezza definite “0day”, ovvero scoperte nel momento stesso in cui venivano sfruttate dagli hacker. Nonostante non lo sia, potremmo paragonare questi attacchi a quelli di un virus: esso ha iniziato a proliferare inosservato per circa 2 mesi sfruttando una debolezza del sistema, e si è scoperto solo quando più di 30 mila aziende negli Usa erano già state “contagiate”.

cms_21307/foto_1.jpg

Stando ad un rapporto di Tom Burt, uno degli esperti di Microsoft, il gruppo che si è infiltrato inizialmente e che poi ha diffuso i metodi per entrare agli altri gruppi, si chiamerebbe Hafnium ed agirebbe dalla Cina, forse legato al governo di Pechino. Apparentemente la campagna di attacchi avrebbe interessato solo bersagli di alto livello come l’Autorità Bancaria Europea, ma successivamente i cyber criminali avrebbero cominciato a colpire indiscriminatamente utilizzando sistemi di automazione degli attacchi che gli hanno permesso di colpire migliaia di obiettivi. Bisogna sottolineare che affinché l’attacco vada a buon fine, i criminali hanno bisogno di accedere ad una istanza locale di un server Exchange (in particolare sulle versioni del 2013, 2016 e 2019) sulla porta 443, se è disponibile si potranno sfruttare le vulnerabilità per ottenere l’accesso remoto: ad esempio la vulnerabilità cve-2021-2655 permetterebbe di inviare richieste http e autenticarsi sul server.

cms_21307/foto_2.jpg

In seguito a questa gravosa situazione Microsoft ha pubblicato un cosiddetto “mitigation tool” che consente di rilevare la eventuale vulnerabilità della piattaforma Exchange agli attacchi. Lo strumento è stato poi aggiornato per individuare anche gli indicatori di compromissione (IOC) che permettono di sapere se il sistema è stato violato. In attesa di una patch sanificatrice, Antonio Blescia consulente della sicurezza di Cys4 ha infine chiarito che “Sebbene il passaggio alla soluzione cloud di Office365 stia avvenendo in maniera graduale, molte realtà continuano ad utilizzare Exchange on-premise senza che sia adeguatamente “perimetrato” (cioè messo in sicurezza all’interno del perimetro di sicurezza aziendale), ad esempio senza un vincolo VPN”.

Francesco Maria Tiberio

Tags:

Lascia un commento



<<Pagina Precedente | Stampa | Torna Su


Meteo


News by ADNkronos


Politica by ADNkronos


Salute by ADNkronos