News

Quali sono le vulnerabilità 0-day che avrebbero compromesso migliaia di server Microsoft Exchange

Se nella vostra azienda fate uso di soluzioni Microsoft Exchange (on-premise), vi preghiamo di leggere questo articolo.

Il nostro intento è di segnalare una grave vulnerabilità che potrebbe avere impatti significativi sul business della propria azienda in termini di produttività, di reputazione e di compliance.

Il 03 marzo, il CSIRT (Computer Security Incident Response Team) ha reso noto un attacco informatico di tipo O-day che, sfruttando alcune vulnerabilità presenti all’interno di server Microsoft Exchange installati on-premises (versioni 2013, 2016 e 2019), permettono ad un attaccante di accedere ad account di posta e di installare web shell finalizzati a garantirgli una permanenza indisturbata o di eseguire comandi per la compromissione della rete.

Le vulnerabilità rese note da Microsoft per le quali ha già rilasciato le patch sono:
(Fonte: https://csirt.gov.it/contenuti/sfruttate-vulnerabilita-0-day-su-exchange-server-al01-210303-csirt-ita)

  • CVE-2021-26855: è una vulnerabilità SSRF (server-side request forgery) in Microsoft Exchange che consente all’autore dell’attacco di inviare richieste HTTP arbitrarie e di autenticarsi sul server Exchange.
  • CVE-2021-26857: vulnerabilità del sottosistema di de-serializzazione nel Unified Messaging service, che permette all’attaccante di eseguire codice arbitrario con diritti SYSTEM sul server Exchange.
  • CVE-2021-26858 e CVE-2021-27065: vulnerabilità che, post-autenticazione, permette all’attaccante la scrittura arbitraria di file o l’installazione di web shell o malware.

Tali vulnerabilità hanno permesso negli ultimi mesi la compromissione di migliaia di server Microsoft Exchange. Questi attacchi su larga scala sono stati associati ad un gruppo di cyber-spionaggio cinese nominato Hafnium.

Come vengono sfruttate queste vulnerabilità

Sfruttando vulnerabilità di tipo SSFR, denominata ProxyLogon (CVE-2021-26855), o compromettendo delle legittime credenziali attraverso ad esempio campagne di Phishing, un attaccante potrebbe autenticarsi all’interno di un server Microsoft Exchage inviando richieste HTTP, consentendogli successivamente di eseguire e scrivere codici o file arbitrari all’interno di qualunque percorso del sistema o di installare malware, come il noto DearCry ransomware.

Per un approfondimento tecnico su come la vulnerabilità ProxyLogon consenta l’installazione di DearCry e come agisce tale ransomware per ottenere la crittografia dei file presenti all’interno dei sistemi violati: https://www.bleepingcomputer.com/news/security/ransomware-now-attacks-microsoft-exchange-servers-with-proxylogon-exploits/

Cosa fare?

Se in azienda viene utilizzato Microsoft Exchange Server è consigliabile installare gli aggiornamenti contenenti le patch fornite dallo stesso vendor.

Qui potete trovare i link agli aggiornamenti rilasciati da Microsoft: https://msrc-blog.microsoft.com/2021/03/05/microsoft-exchange-server-vulnerabilities-mitigations-march-2021/

Nel caso che il proprio sistema fosse già stato compromesso, l’installazione delle patch non sarebbe sufficiente a garantire la sicurezza dei propri sistemi. Meglio effettuare un’analisi che permetta di verificare la presenza di eventuali malware o file dannosi installati inconsapevolmente all’interno dei propri sistemi aziendali.

IMQ Intuity, con il chiaro intento di mettere a fattor comune la conoscenza delle dinamiche di queste vulnerabilità, è disponibile ad ulteriori approfondimenti e di una eventuale verifica su sistemi che utilizzano server Microsoft Exchange.

Per maggiori info, il nostro indirizzo mail dedicato è sempre attivo: security-alert@intuity.it

Quali sono le vulnerabilità 0-day che avrebbero compromesso migliaia di server Microsoft Exchange