Se nella vostra azienda fate uso di soluzioni Microsoft Exchange (on-premise), vi preghiamo di leggere questo articolo.
Il nostro intento è di segnalare una grave vulnerabilità che potrebbe avere impatti significativi sul business della propria azienda in termini di produttività, di reputazione e di compliance.
Il 03 marzo, il CSIRT (Computer Security Incident Response Team) ha reso noto un attacco informatico di tipo O-day che, sfruttando alcune vulnerabilità presenti all’interno di server Microsoft Exchange installati on-premises (versioni 2013, 2016 e 2019), permettono ad un attaccante di accedere ad account di posta e di installare web shell finalizzati a garantirgli una permanenza indisturbata o di eseguire comandi per la compromissione della rete.
Le vulnerabilità rese note da Microsoft per le quali ha già rilasciato le patch sono:
(Fonte: https://csirt.gov.it/contenuti/sfruttate-vulnerabilita-0-day-su-exchange-server-al01-210303-csirt-ita)
- CVE-2021-26855: è una vulnerabilità SSRF (server-side request forgery) in Microsoft Exchange che consente all’autore dell’attacco di inviare richieste HTTP arbitrarie e di autenticarsi sul server Exchange.
- CVE-2021-26857: vulnerabilità del sottosistema di de-serializzazione nel Unified Messaging service, che permette all’attaccante di eseguire codice arbitrario con diritti SYSTEM sul server Exchange.
- CVE-2021-26858 e CVE-2021-27065: vulnerabilità che, post-autenticazione, permette all’attaccante la scrittura arbitraria di file o l’installazione di web shell o malware.
Tali vulnerabilità hanno permesso negli ultimi mesi la compromissione di migliaia di server Microsoft Exchange. Questi attacchi su larga scala sono stati associati ad un gruppo di cyber-spionaggio cinese nominato Hafnium.
Come vengono sfruttate queste vulnerabilità
Sfruttando vulnerabilità di tipo SSFR, denominata ProxyLogon (CVE-2021-26855), o compromettendo delle legittime credenziali attraverso ad esempio campagne di Phishing, un attaccante potrebbe autenticarsi all’interno di un server Microsoft Exchage inviando richieste HTTP, consentendogli successivamente di eseguire e scrivere codici o file arbitrari all’interno di qualunque percorso del sistema o di installare malware, come il noto DearCry ransomware.
Per un approfondimento tecnico su come la vulnerabilità ProxyLogon consenta l’installazione di DearCry e come agisce tale ransomware per ottenere la crittografia dei file presenti all’interno dei sistemi violati: https://www.bleepingcomputer.com/news/security/ransomware-now-attacks-microsoft-exchange-servers-with-proxylogon-exploits/
Cosa fare?
È consigliabile installare gli aggiornamenti contenenti le patch fornite dallo stesso vendor, se in azienda viene utilizzato Microsoft Exchange Server.
Qui potete trovare i link agli aggiornamenti rilasciati da Microsoft: https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/
L’installazione delle patch non sarebbe sufficiente a garantire la sicurezza dei propri sistemi se il proprio sistema è già compromesso
Meglio effettuare un’analisi che permetta di verificare la presenza di eventuali malware o file dannosi installati inconsapevolmente all’interno dei propri sistemi aziendali.
IMQ Intuity, con il chiaro intento di mettere a fattor comune la conoscenza delle dinamiche di queste vulnerabilità, è disponibile ad ulteriori approfondimenti e di una eventuale verifica su sistemi che utilizzano server Microsoft Exchange.
Per maggiori info, il nostro indirizzo mail dedicato è sempre attivo: security-alert@intuity.it
o contattaci qui