Attacco hacker a Microsoft Exchange: oltre 250 mila aziende coinvolte


Attacco hacker a Microsoft Exchange: oltre 250 mila aziende coinvolte

La settimana scorsa Microsoft ha rilasciato alcuni aggiornamenti per sistemare le vulnerabilità di Exchange, un software per la collaborazione aziendale online molto diffuso.

Microsfot Exchane infatti è finito in questi giorni nel mirino di un gruppo di cybercriminali cinesi che, approfittando delle vulnerabilità zero-day, avevano violato numerosi account di posta elettronica. 

 In base alla cronologia pubblicata da Brian Krebs, giornalista investigativo esperto di cybersecurity, Microsoft avrebbe appreso delle vulnerabilità attorno al 5 gennaio dalla società Devcore. E nei giorni successive l’azienda ha collezionato altre segnalazioni provenienti da Volexity, Dubex e Trend Micro, altre società che si occupano di cybersicurezza: Redmond avrebbe dunque impiegato due mesi per creare le patch lasciando, nel frattempo, agire indisturbati gli hacker cinesi.

Come si legge nel blog Microsoft "Microsoft ha rilevato più exploit 0-day utilizzati per attaccare le versioni on-premises di Microsoft Exchange Server in attacchi limitati e mirati. Negli attacchi osservati, l'attore della minaccia ha usato queste vulnerabilità per accedere ai server Exchange on-premises che hanno permesso l'accesso agli account di posta elettronica e hanno permesso l'installazione di malware aggiuntivi per facilitare l'accesso a lungo termine agli ambienti delle vittime. Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna con grande fiducia a HAFNIUM, un gruppo sponsorizzato dallo stato e operante in Cina, sulla base della vittimologia, delle tattiche e delle procedure osservate. Le vulnerabilità recentemente sfruttate erano CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, tutte affrontate nel rilascio odierno del Microsoft Security Response Center (MSRC) - Multiple Security Updates Released for Exchange Server. Invitiamo caldamente i clienti ad aggiornare immediatamente i sistemi on-premises. Exchange Online non è interessato. Stiamo condividendo queste informazioni con i nostri clienti e la comunità di sicurezza per sottolineare la natura critica di queste vulnerabilità e l'importanza di applicare immediatamente le patch a tutti i sistemi interessati per proteggersi da questi exploit e prevenire futuri abusi in tutto l'ecosistema. Questo blog continua anche la nostra missione di far luce sugli attori malintenzionati ed elevare la consapevolezza delle tattiche e delle tecniche sofisticate utilizzate per colpire i nostri clienti. Gli IOC correlati, le query di caccia avanzate di Azure Sentinel e le rilevazioni e le query di Microsoft Defender for Endpoint product condivise in questo blog aiuteranno i SOC a cercare in modo proattivo le attività correlate nei loro ambienti e ad elevare gli avvisi per il rimedio. Microsoft desidera ringraziare i nostri colleghi del settore di Volexity e Dubex per aver segnalato diverse parti della catena di attacco e la loro collaborazione nell'indagine. Volexity ha anche pubblicato un post sul blog con la loro analisi. È questo livello di comunicazione proattiva e di condivisione dell'intelligence che permette alla comunità di unirsi per anticipare gli attacchi prima che si diffondano e migliorare la sicurezza per tutti."

Il ritardo nel rilascio delle patch avrebbe quindi permesso al gruppo di hacker noto con il nome di Hafnium – e agli altri 4 gruppi di hacker – di colpire oltre 250mila organizzazioni in tutto il mondo. Tra queste c’è anche l’European Banking Authority (Eba) che, tramite un comunicato stampa, ha confermato di essere stata oggetto di un cyberattacco che avrebbe sfruttato le vulnerabilità dei server di posta elettronica gestiti da Microsoft Exchange. Come misura precauzionale, l’Eba ha deciso di mettere offline i suoi sistemi di posta elettronica.

Le principali preoccupazioni attuali riguardano la possibilità che gli hacker collegati a Pechino e gli altri gruppi attivi possano essere rimasti nascosti nei sistemi informatici per mesi prima che qualcuno si accorgesse delle vulnerabilità sfruttate e del loro attacco. In tutto questo tempo, migliaia di informazioni riservate di aziende e organizzazioni pubbliche potrebbero essere state trafugate, con conseguenze potenzialmente disastrose.

 

IT'S EASY

Cerchi una soluzione tecnologica per rispondere ad un bisogno della Tua Azienda?

Contattaci! Saremo lieti di progettarla assieme a Te.