Vulnerabilità zero-day di Microsoft Exchange Server
Un grave attacco che sfrutta quattro vulnerabilità zero-day nelle versioni locali di Microsoft Exchange Server è stato condotto da quello che si ritiene essere un attore di minacce sponsorizzato dallo stato. Microsoft aveva già iniziato a monitorare le attività di questo collettivo di hacker con la denominazione HAFNIUM. Secondo i loro risultati, il gruppo si trova in Cina e sostenuto dal governo cinese.
Attraverso gli exploit, gli hacker potevano ottenere illegalmente l'accesso a Exchange Server e creare una shell web che dava loro il controllo remoto del sistema. Lo scopo principale dell'attacco era accedere ai dati sensibili contenuti negli account di posta elettronica della vittima e nella rubrica offline di Exchange. La shell web, tuttavia, ha anche consentito l'eliminazione di payload aggiuntivi di malware. Nell'attacco HAFNIUM, tale funzionalità è stata utilizzata per garantire l'accesso prolungato ai sistemi della vittima.
Dopo che le informazioni sull'attacco sono diventate pubbliche, Microsoft ha rilevato più attori di minacce aggiuntive che incorporavano le vulnerabilità zero-day nelle loro operazioni. In soli 9 giorni, è stata osservata una nuova minaccia ransomware pervenuta attraverso i quattro punti deboli della sicurezza. La minaccia è stata chiamata DearCry, un ovvio omaggio al famigerato malware WannaCry che ha infettato gli utenti in tutto il mondo in un attacco che sfruttava un diverso insieme di vulnerabilità di Microsoft.
Quattro exploit zero-day hanno permesso l'attacco
Gli zero-day sfruttati da HAFNIUM e dagli altri attori delle minacce vengono tracciati come CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065.
La prima, CVE-2021-26855, è una vulnerabilità SSRF (server-side request forgery) che consente agli aggressori di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.
CVE-2021-26857 è una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. In breve, questo exploit ha consentito agli aggressori di eseguire codice come SYSTEM sul servizio Exchange.
Gli ultimi due exploit - CVE-2021-26858 e CVE-2021-27065, consistono entrambi in una vulnerabilità di scrittura arbitraria di file post-autenticazione.
Microsoft ha rilasciato patch di sicurezza e uno strumento per mitigare l'attacco
Sulla scia della violazione e data la sua gravità, Microsoft ha rilasciato diversi aggiornamenti di sicurezza per correggere le vulnerabilità nelle versioni precedenti del proprio Exchange Server. Il gigante della tecnologia ha anche rilasciato un blog sulla sicurezza contenente l'IoC (Indicatori di compromesso) osservato, indicazioni sul rilevamento e query di ricerca avanzate in modo che i clienti abbiano un'idea migliore di dove controllare i segnali di attività potenzialmente dannose.
Per aiutare i clienti più piccoli che non dispongono di reparti IT o di sicurezza informatica dedicati, Microsoft ha anche rilasciato uno strumento di mitigazione con un clic. Lo strumento di mitigazione locale di Microsoft Exchange deve essere utilizzato come misura di sicurezza provvisoria sulle distribuzioni di Exchange Server 2013, 2016 e 2019 mentre il cliente si prepara a installare l'aggiornamento della protezione appropriato.
