Microsoft ha recentemente risolto quattro vulnerabilità zero-day nel suo server di posta elettronica Exchange. L'impatto dei difetti è piuttosto allarmante, poiché la piattaforma Exchange è una delle più popolari nell'infrastruttura aziendale.
Inoltre, Microsoft ritiene che i difetti siano stati attivamente sfruttati da un gruppo di minacce con sede in Cina noto come Hafnium. Il gruppo di hacker ha cercato un accesso persistente ai sistemi di posta elettronica, Microsoft dice. Nonostante gli attacchi sono stati descritti come limitati e mirati, anche altri gruppi di minacce stanno approfittando degli zero-giorni. Le indicazioni di attacchi risalgono all'inizio del 2021.
Hacker di afnio che prendono di mira varie istituzioni
Vale la pena ricordare che questa è la prima volta che Microsoft menziona pubblicamente gli hacker dell'afnio. Questi hacker hanno preso di mira varie istituzioni ed esperti, compresi gli studi legali, strutture educative, ONG, ricercatori di malattie.
storicamente, L'afnio si rivolge principalmente a entità negli Stati Uniti allo scopo di estrarre informazioni da una serie di settori industriali, compresi i ricercatori sulle malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, think tank politici e ONG. Mentre Afnio ha sede in Cina, conduce le sue operazioni principalmente da server privati virtuali in locazione (VPS) negli Stati Uniti, dice Tom Burt, vicepresidente aziendale per la sicurezza del cliente & Affidati a Microsoft.
Microsoft ha lavorato rapidamente per correggere gli exploit di Hafnium. Tuttavia, altri attori del trattamento dello stato-nazione e hacker dovrebbero trarre vantaggio da sistemi privi di patch. Applicare le patch il prima possibile ridurrà al minimo il rischio di eventuali compromessi legati allo zero-day di Exchange.
Ulteriori informazioni sui quattro giorni zero del server di posta di Exchange
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065
Le vulnerabilità che interessano Microsoft Exchange Server sono CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065. Per fortuna, Exchange Online non è interessato. Le versioni interessate includono Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, e Microsoft Exchange Server 2019.
I difetti vengono utilizzati come parte di una catena di attacchi, Microsoft avverte. Per essere avviato con successo, un attacco richiede una connessione non attendibile a una porta del server Exchange specifica, 443. Questa scappatoia può essere protetta limitando la connessione non attendibile, o configurando una VPN per separare il server dall'accesso esterno. Tuttavia, questi trucchi di mitigazione offrono solo una protezione parziale. L'azienda avverte che altre parti dell'attacco a catena possono essere attivate se un utente malintenzionato ha già accesso o può convincere un amministratore a eseguire un file dannoso.
È curioso menzionarlo lo scorso marzo, gruppi di hacker sponsorizzati dallo stato stavano sfruttando CVE-2020-0688, un'altra vulnerabilità nei server di posta elettronica di Microsoft Exchange. Poi, a maggio, il server Exchange è stato attaccato dal cosiddetto Trojan Valar. L'attacco malware stava prendendo di mira le vittime principalmente in Germania e negli Stati Uniti. È stata classificata come una minaccia avanzata fornita ai sistemi vulnerabili in più fasi.