Sono 30 mila le organizzazioni che potrebbero essere già state colpite negli Stati Uniti in merito ad alcuni exploit su Microsoft Exchange. Ma il numero, a livello globale, potrebbe essere molto più grande.L’ultimo controllo di Shodan da parte di Trend Micro ha rivelato infatti circa 63 mila server esposti vulnerabili a questi exploit.
L'applicazione immediata delle patch disponibili deve essere una priorità assoluta, oppure, ove non fosse possibile, è necessario disconnettere tutti i server vulnerabili che potrebbero essere in esecuzione. Al momento, chiunque abbia un server Microsoft Exchange deve investigare per verificare se ci sono segni di compromissione.
I primi attacchi risalgono al 6 gennaio scorso, quando un nuovo gruppo di minacce, etichettato da Microsoft con il nome di “Hafnium”, ha cominciato a sfruttare 4 bug zero-day all’interno di Microsoft Exchange Server. Le minacce utilizzavano dei virtual private server (VPS) negli Stati Uniti per nascondere la reale ubicazione. Microsoft ha fornito delle patch di emergenza la scorsa settimana.
Le vulnerabilità possono essere sfruttate per eseguire codici, scrivere file, rubare dati e ulteriori azioni dannose come ad esempio la distribuzione di ransomware all’interno delle organizzazioni vittime. In tutto il mondo c’è molta preoccupazione per la vasta portata di questa campagna cybercriminale e sono molte le istituzioni in allerta, come la Casa Bianca e la Cybersecurity and Infrastructure Security Agency (CISA).
Microsoft ha inizialmente affermato che Hafnium ha preso di mira organizzazioni in settori come quello della ricerca sulle malattie infettive, dell’istruzione, della difesa, legal e NGO. Esiste però l’ipotesi che l’ondata di attacco più recente possa essere opera di un altro gruppo cyber criminale e si possa abbattere su settori con meno risorse per la cybersecurity, come le PMI o le organizzazioni governative locali.
Per scoprire se è stato colpito dall’attacco bisogna scansionare i log di Exchange Server con lo strumento di rilevamento Microsoft per verificare la compromissione. Effettuare una ricerca manuale con Trend Micro Vision One per verificare gli indicatori di compromissione conosciuti che sono associati a questa campagna. Consultare la pagina dedicata con tutte le informazioni sulle protezioni Trend Micro specifiche per questa campagna cyber criminale
Se le scansioni non hanno rilevato alcuna compromissione è importante applicare le patch rilasciate da Microsoft il più in fretta possibile. Se il sistema è invece stato colpito, bisogna attivare un piano di incident response.
«Nel caso non si disponga di un team di security interno, contattare immediatamente il vendor o il provider per un supporto» spiegano da Trend Micro. «Se si dispone di un team per la risposta agli incidenti, seguire i loro consigli».
«Mai utilizzare una macchina senza che sia stata effettuata una scansione forense per accertare gli indicatori di compromissione. Contattare il team legal per le eventuali procedure di notifica violazione». Ulteriori informazioni su protezioni specifiche per questa campagna cyber criminale sono disponibili a questo link.