Microsoft sta accelerando la pianificazione di una patch per Exchange, dopo aver confermato la presenza di due vulnerabilità molto gravi e già sfruttate nel mondo reale. Secondo le stime, sarebbero a rischio ben 220 mila server in tutto il mondo.
Dalle ricostruzioni effettuate da GTSC, azienda di sicurezza vietnamita, la falla è stata sfruttata già a partire dall'inizio di agosto. Sebbene ci siano delle somiglianze con una 0-day già patchata in precedenza, pare che questa vulnerabilità di Exchange sia inedita.
In base alle analisi di GTSC, gli hacker avrebbero impiegato varie tecniche allo scopo di creare delle backdoor nei sistemi colpiti, passando poi ad altri server nel sistema. Gli attacchi sono mirati a raccogliere dati e creare, appunto, una presenza permanente sulle macchine delle vittime.
La stessa Microsoft ha confermato che le vulnerabilità sono nuove e sono state registrate, rispettivamente, come CVE-2022-41040 (che consente di falsificare le richieste lato server) e CVE-2022-41082 (che permette l'esecuzione di codice remoto se PowerShell è accessibile all'hacker).
Secondo il Microsoft Security Response Center, gli attacchi che sfruttano queste 0-day sono limitati e molto mirati, poiché occorre utilizzare delle credenziali valide per almeno un utente e-mail del server colpito.
Le vulnerabilità riguardano i server Exchange in loco e non quelli in hosting gestiti da Microsoft, tuttavia molti utenti utilizzano soluzioni combinate, con hardware in sede e in cloud. Tali ambienti ibridi sono tanto vulnerabili quanto i server dislocati in loco.
Da ciò che è emerso dalle indagini dei ricercatori di GTSC, gli hacker parlano cinese e infettano i server con webshell in questa lingua. Il malware trasmesso ai server emula un servizio web di Microsoft Exchange e trasmette e riceve dati con crittografia RC4, la cui chiave viene generata in runtime.
Chi esegue server Exchange in loco può intervenire applicando una regola di blocco che impedisca ai server di accettare gli schemi d'attacco noti.
Per applicare la regola, occorre accedere a "Gestione IIS > Sito Web predefinito > URL Rewrite > Azioni". Microsoft suggerisce anche di bloccare le porte HTTP 5985 e HTTPS 5986, sfruttate dagli hacker che vogliono utilizzare CVE-2022-41082.
In ogni caso, la patch ufficiale dovrebbe essere rilasciata da Microsoft a breve.
