I server Microsoft Exchange sono sempre più presi di mira dai criminali informatici per sottrarre dati aziendali, eseguire codice dannoso e disporre movimenti laterali all’interno dell’infrastruttura di rete.
Bitdefender ha recentemente scoperto una nuova ondata di attacchi ProxyShell che sfruttano una catena di exploit. I tentativi di attacco risultano efficaci perché una larga parte di server Exchange non risultano correttamente aggiornati e protetti.
Microsoft stessa ha appena pubblicato una nota con cui esorta gli amministratori IT ad aggiornare Exchange installando tutte le patch di sicurezza.
Ci sono infatti troppi aspetti legati alle installazioni di Exchange on-premises che risultano preziosissimi per i malintenzionati che cercano di sottrarre e danneggiare i dati altrui: le caselle di posta elettronica gestite con Exchange contengono spesso dati riservati e sensibili. In secondo luogo, ogni server Exchange contiene una copia della rubrica aziendale che fornisce informazioni utili per gli attacchi phishing basati sull’ingegneria sociale (struttura organizzativa, titoli, informazioni di contatto e altro ancora).
In terzo luogo, Exchange ha collegamenti profondi con altre applicazioni e utilizza una serie di permessi all’interno del dominio Active Directory; nelle configurazioni ibride può inoltre collegarsi con la parte cloud traendo vantaggio dalle interconnessioni che sono state ad esempio allestite tra filiali e sedi diverse di una stessa azienda.
Per difendere le installazioni di Exchange dagli attacchi informatici che sfruttano vulnerabilità note, è necessario installare l’ultimo aggiornamento cumulativo (CU) e il più recente pacchetto Security Update (SU). Di seguito i componenti software da installare per proteggere Exchange nelle sue varie versioni:
L’ultimo Security Update per Exchange ad oggi disponibile è quello di gennaio 2023.
La prassi da seguire è sempre la stessa: dapprima si installa il CU più recente quindi si controlla se sono stati rilasciati pacchetti SU. In caso affermativo si procede con l’installazione del pacchetto SU più aggiornato.
I pacchetti CU e SU per Exchange Server sono cumulativi: è necessario installare solo gli ultimi disponibili.
Una volta applicati gli aggiornamenti, Microsoft consiglia di utilizzare lo script HealthChecker: aiuta a rilevare e risolvere problemi di configurazione di Exchange noti per causare problemi di prestazioni e di sicurezza.
Utilizzando lo script Microsoft si può così avviare un’attività di fine tuning di Exchange raccogliendo anche informazioni utili a migliorare il funzionamento del server.
Ed è importante agire rapidamente perché a gennaio 2023 i ricercatori della Shadowserver Foundation hanno scoperto che oltre 60.000 server Microsoft Exchange esposti online sono ancora vulnerabili agli attacchi che sfruttano gli exploit ProxyNotShell (vulnerabilità RCE, Remote Code Execution, CVE-2022-41082). Si parla di 2.000 macchine vulnerabili solamente in Italia.
A peggiorare le cose, una semplice ricerca su Shodan evidenzia un numero considerevole di server Exchange esposti, con migliaia di essi ancora in attesa di essere messi al sicuro da attacchi che prendono di mira le falle sfruttate da ProxyShell e ProxyLogon, vulnerabilità tra le più utilizzate dai criminali informatici dal 2021 a questa parte.