Soltanto negli Stati Uniti sarebbero oltre 30.000 le aziende prese di mira da un gruppo di aggressori cinesi che hanno utilizzato una vulnerabilità insita in Microsoft Exchange Server per acquisire il controllo dei sistemi altrui, sottrarre informazioni riservate ed eseguire codice dannoso.
Accortasi del problema, anche se in molti casi i buoi erano ormai scappati, Microsoft ha rilasciato lo scorso 2 marzo una patch correttiva per Exchange Server: Grave problema di sicurezza in Microsoft Exchange: aggiornare subito.
Come abbiamo visto, risultano vulnerabili tutte le installazioni del software che espongono la porta 443 sulla rete Internet.
Nei tre giorni successivi al rilascio dell’aggiornamento correttivo, gli aggressori cinesi hanno addirittura incrementato esponenzialmente il volume degli attacchi lasciando attiva, su tutti i sistemi violati, una web shell ovvero uno strumento utilizzabile per controllare da remoti tutti i sistemi.
Brian Krebs ha fatto il punto della situazione mentre nel frattempo Microsoft ha aggiornato Defender e gli altri suoi tool per la sicurezza al fine di rilevare l’attacco, battezzato ProxyLogon.
L’ultima novità è che l’azienda di Redmond ha rilasciato anche una nuova versione di Microsoft Safety Scanner (MSERT), software stand alone che permette di avviare una scansione completa di qualunque sistema Windows.
Da oggi MSERT diventa in grado di riconoscere e rimuovere le web shell eventualmente caricate dagli aggressori sfruttando le installazioni vulnerabili di Exchange Server.
MSERT è uno strumento di scansione antimalware che non offre alcuna protezione in tempo reale ma che può essere avviato per effettuare un’analisi su richiesta del contenuto di qualunque sistema Windows.
Dal momento che una scansione completa con MSERT può richiedere molto tempo, Microsoft suggerisce che è possibile selezionare l’analisi personalizzata e in questo caso concentrarsi solo sul contenuto delle seguenti cartelle:
%IIS installation path%\aspnet_client\*
%IIS installation path%\aspnet_client\system_web\*
%Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*
%Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*
Oltre a queste, è opportuno esaminare il contenuto delle cartelle temporanee di ASP.NET.
Eventuali file malevoli non vengono mai messi in quarantena da MSERT ma eliminati direttamente. Le informazioni sulle azioni compiute dal programma sono memorizzate nel file di registro %systemroot%\debug\msert.log
.
Questo script PowerShell, sviluppato dal CERT (Computer Emergency Response Team) lettone e condiviso su GitHub, permette di avviare la scansione sulle aree del sistema potenzialmente aggredite nel corso degli attacchi contro Exchange Server senza cancellare nulla. Spetterà poi all’amministratore svolgere le analisi del caso.