Una vulnerabilità nel software di posta elettronica di Micorosoft (Microsoft Exchange) ha reso possibile un attacco hacker di dimensioni epocali: circa trentamila le aziende ed organizzazioni (governative e non) colpite dall’evento.
Tom Burt, responsabile della sicurezza di Microsoft, ha reso pubblica la falla di sicurezza con un post sul blog ufficiale, sottolineando però che nei prossimi giorni vedremo aggiornamenti rapidi e funzionali per tamponare al massimo l’accaduto.
Patching and mitigation is not remediation if the servers have already been compromised. It is essential that any organization with a vulnerable server take immediate measures to determine if they were already targeted. https://t.co/HYKF2lA7sn
— Sean Savett (@NSC_Spox) March 6, 2021
“È essenziale che qualsiasi organizzazione con un server vulnerabile adotti misure immediate per determinare se è stato già preso di mira”, sottolinea un portavoce della Casa Bianca con un Tweet: a quanto pare applicare patch ed aggiornamenti minimi sarebbe inutile giacché la sicurezza della piattaforma è stata compromessa in modo irreparabile, occorrerebbe dunque un intervento massiccio da parte di Microsoft per ristabilire quanto prima l’ordine.
Quali sono le vulnerabilità e perché sono importanti?
Le vulnerabilità critiche hanno avuto un impatto su Exchange Server 2013, Exchange Server 2016 e Exchange Server 2019. A quanto pare, Exchange Online non sembra essere interessato dall’attacco.
- CVE-2021-26855: CVSS 9.1: una vulnerabilità Server Side Request Forgery (SSRF) che porta a richieste HTTP predisposte inviate da utenti non autenticati. I server devono essere in grado di accettare connessioni non fidate sulla porta 443 per attivare il bug.
- CVE-2021-26857: CVSS 7.8: una vulnerabilità di deserializzazione nel servizio di messaggistica unificato di Exchange che consente l’implementazione arbitraria di un codice nel SYSTEM. Tuttavia, questa vulnerabilità deve essere combinata con un’altra o deve usare, per funzionare, credenziali rubate.
- CVE-2021-26858: CVSS 7.8: una vulnerabilità sulla scrittura di file arbitrari post-autenticazione che incide sui percorsi.
- CVE-2021-27065: CVSS 7.8: una vulnerabilità di scrittura di file arbitrari post-autenticazione che incide, come sopra, sui percorsi dei file.
Se utilizzate in una sequenza d’attacco unia, tutte queste vulnerabilità possono portare al Remote Code Execution (RCE), al server hijacking, al backdoor, al furto di dati e alla potenziale distribuzione di malware.
Microsoft dice che gli aggressori avrebbero accesso sicuro a un server di Exchange sia attraverso questi bug o attraverso credenziali rubate e potrebbero quindi creare una shell web per dirottare il sistema ed eseguire comandi da remoto.
“Queste vulnerabilità sono utilizzati come parte di un piano di attacco su vasta scala,” dice Microsoft. “L’attacco iniziale richiede l’abilità di effettuare una connessione non attendibile alla porta 443 del server Exchange. Può essere evitato applicando restrizioni da connessioni non attendibili, o impostando una VPN per separare il server di Exchange dall’accesso esterno. L’utilizzo di questa mitigazione proteggerà solo contro la parte iniziale dell’attacco; altri attacchi possono essere attivati se un hacker ha già accesso o può convincere un amministratore ad eseguire un file dannoso.”
Attacco a Microsoft Exchange: chi è il responsabile?
Microsoft, sempre nel suo post ufficiale sul blog, sostiene che gli attacchi vengono da Hafnium.
L’hafnium è un gruppo cinese di minaccia persistente ed avanzata (in inglese APT, advanced persistent threat) sponsorizzato dallo stesso stato cinese, descritto dalla compagnia come “una realtà altamente qualificata e sofisticata.” Hafnium è sì originario della Cina, ma il gruppo utilizza una rete di server privati virtuali (VPS) situati negli Stati Uniti per cercare di nascondere la vera localizzazione. Le entità precedentemente prese di mira dal gruppo includono gruppi sociali, organizzazioni no-profit, appaltatori della difesa e ricercatori scientifici: si tratta dunque di un gruppo che attacca prevalentemente basandosi su certe ideologie.
Quando certe vulnerabilità vengono alla luce e vengono poi successivamente riparate, se ad essere coinvolto è un server o programma popolare le ramificazioni possono essere enormi e può succedere che da un colpevole si arrivi ad una serie di colpevoli. I problemi più evidenti possono essere spesso fatti risalire al rilascio di nuove patch o a motivi per cui il personale IT non può applicare una correzione perché inconsapevole che un’organizzazione utilizza il loro software.
Mandiant afferma che ulteriori attacchi contro obiettivi statunitensi includono anche enti governativi locali, università ed addirittura una società di ingegneria (oltre a vari rivenditori). La società Cyberforensics ritiene che le vulnerabilità potrebbero essere utilizzate per scopi di distribuzione ransomware o furto di dati.
L’esperto di informatica Brian Krebs ha dichiarato che circa 30.000 organizzazioni negli Stati Uniti sono state hackerate fino ad ora, sebbene le stime di Bloomberg collochino questa cifra più vicino a 60.000.
L’Autorità bancaria europea (European Banking Authority , EBA) è una delle ultime vittime. I dati in questione sarebbero stati rubati direttamente dai server di posta elettronica dell’agenzia.
L’US Cybersecurity and Infrastructure Security Agency (CISA) sostiene che l’agenzia è consapevole della minaccia e degli hacker e sta dunque utilizzando strumenti open source per la ricerca di vulnerabilità nei server di Microsoft Exchange. In un aggiornamento del 5 marzo, Microsoft ha detto che l’azienda continua a vedere l’aumento dell’uso di queste vulnerabilità in attacchi mirati da più attori e non solo da Hafnium. Secondo al CNN, Biden dovrebbe organizzare una task force mirata a risollevare le sorti di questa tragedia e far sì che non si ripeta più.
Microsoft ha esortato gli amministratori IT ed i clienti ad applicare immediatamente le azioni di sicurezza per mitigare il massiccio attacco. Tuttavia, pur applicandole adesso, queste azioni di sicurezza non renderebbero vane le azioni di backdoor e di data tracking effettuate.
Il gigante Redmond ha anche pubblicato uno script su Github disponibile per gli amministratori IT che includerebbe guide sugli indicatori di compromissione (IOC) collegati alle quattro vulnerabilità. I CIO sono elencati separatamente qui.
Nella giornata di ieri, Microsoft ha rilasciato un ulteriore set di aggiornamenti di sicurezza che possono essere applicati ai vecchi, Cumulative Updates (Cus), come misura temporanea. La CISA ha emesso una direttiva di emergenza il 3 marzo che richiedeva alle agenzie federali di analizzare immediatamente tutti i server che fruivano del servizio di Microsoft Exchange e di applicare le correzioni fornite dalla società.
Leggi anche: