Nel corso del “patch day” di novembre 2021 Microsoft ha rilasciato un aggiornamento di sicurezza per la falla CVE-2021-42321 che affligge le installazione on-premise di Exchange Server 2016 ed Exchange Server 2019.
Il problema è grave perché può essere sfruttato per eseguire codice dannoso da remoto su tutte le installazioni di Microsoft Exchange Server vulnerabili.
Adesso è ancora più essenziale scaricare e installare gli aggiornamenti Microsoft di novembre su tutti i sistemi che utilizzano Exchange Server perché è stato appena pubblicato su GitHub il codice proof-of-concept in grado di far leva sulla vulnerabilità in questione.
Nell’esempio il ricercatore dimostra come sia possibile eseguire sul sistema vulnerabile qualunque operazione: in questo caso viene avviato Microsoft Paint ma un eventuale aggressore può utilizzare qualunque comando.
Da parte sua Microsoft conferma di avere notizia di diversi attacchi che sfruttano la vulnerabilità CVE-2021-42321 e che quindi gli amministratori di sistema sono invitati ad applicare immediatamente la patch correttiva già disponibile.
Per semplificare la vita ai tecnici Microsoft suggerisce l’utilizzo di due strumenti. Il primo si chiama Exchange Health Checker ed è uno script PowerShell che permette di verificare quanti e quali installazioni di Exchange Server si utilizzano all’interno della propria infrastruttura di rete.
Per verificare se si fosse già subìto qualche tentativo di attacco sulle proprie installazioni di Exchange Server è possibile aprire una finestra PowerShell con i diritti di amministratore quindi digitare il comando che segue:
Il comando non fa altro che controllare i file di log del registro degli eventi di Windows (premere Windows+R
quindi digitare eventvwr.msc
) cercando i segnali di uno o più aggressioni.
Exchange Server torna quindi protagonista di nuovi attacchi. Gli amministratori di Exchange Server hanno infatti dovuto fare i conti con due massicce ondate di attacchi dall’inizio del 2021: in quel caso venivano prese di mira vulnerabilità di sicurezza chiamate ProxyLogon e ProxyShell.
Gli autori delle aggressioni, finanziati da qualche ente statale quindi estremamente motivati, hanno utilizzato alcuni exploit per distribuire web shell, cryptominer, ransomware e altre minacce all’inizio di quest’anno.
Questi attacchi hanno preso di mira più di 250.000 server Exchange appartenenti a decine di migliaia di organizzazioni in tutto il mondo. Alcuni mesi dopo Stati Uniti, Unione Europea, Regno Unito e la NATO hanno ufficialmente accusato la Cina.
La nuova vulnerabilità CVE-2021-42321 apre una nuova pericolosa via d’accesso ai sistemi Exchange Server non aggiornati e costituisce una porta d’accesso alle reti di molte realtà aziendali.