Microsoft ha pubblicato alcuni aggiornamenti di sicurezza out-of-band per risolvere pericolose vulnerabilità recentemente scoperte in tutte le versioni di Exchange. Le correzioni dovrebbero essere subito applicate in ambito aziendale perché il rischio è quello di subire un attacco con la conseguente sottrazione di dati personali e informazioni riservate. I criminali informatici possono essere in grado di impiantare malware all’interno della rete al fine di sferrare attacchi ancora più estesi.
È sufficiente che il server Exchange vulnerabile (quindi sprovvisto della patch appena rilasciata) sia raggiungibile sulla porta 443 perché un utente remoto possa assumerne il controllo.
Le vulnerabilità appena risolte da Microsoft sono contraddistinte dagli identificativi CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065: nel complesso le falle di sicurezza agiscono pre e post-autenticazione.
Si può infatti dapprima assumere il controllo del server Exchange inviando pacchetti di dati appositamente congegnati, acquisire i privilegi SYSTEM sulla macchina remota e usare un meccanismo per scrivere file arbitrati all’interno di qualunque percorso.
Microsoft ha rivelato che le vulnerabilità sono già state sfruttate per prendere di mira aziende di elevato profilo: gli attacchi sarebbero stati posti in essere da un gruppo cinese filogovernativo chiamato Hafnium.
Gli obiettivi storici di Hafnium sono le imprese statunitensi, soprattutto quelle che si occupano di ricerca nel campo delle malattie infettive, studi legali, istituti di istruzione, appaltatori della difesa, think tank politici e ONG, con l’obiettivo di sottrarre segreti industriali e informazioni riservate.
Dopo aver acquisito l’accesso ai server Exchange vulnerabili, Hafnium installa una web shell che permette agli aggressori di rubare i dati, caricare file ed eseguire qualunque comando sui sistemi violati. Eseguendo un dump della memoria incentrato sul processo LSASS.exe
di Windows gli aggressori vanno inoltre alla ricerca delle credenziali conservate nella cache del sistema operativo.
Il contenuto delle caselle di posta gestite con Exchange e degli altri dati sottratti viene poi automaticamente caricato sulle principali piattaforma di cloud storage tra cui MEGA.
In forza della gravità della situazione Microsoft invita tutti gli utenti di Exchange a installare immediatamente le patch di sicurezza appena pubblicate.
Il ricercatore e analista del team Microsoft Kevin Beaumont ha sviluppato un utile script per Nmap (vedere Nmap, cos’è e come funziona il re dei port scanner) che permette, una volta avviato, di effettuare una scansione della rete al fine di individuare i server Exchange vulnerabili. Per avviare lo script basta digitare nmap --script http-vuln-exchange
previo download da GitHub.
A questo indirizzo Microsoft ha pubblicato uno script PowerShell che consente di verificare se uno o più server Exchange fossero già stati oggetto di attacco.