Microsoft ha rilasciato una serie di aggiornamenti di sicurezza per tutte le versioni di Microsoft Exchange supportate per mitigare quattro diverse vulnerabilità zero-day. Tali vulnerabilità sono note agli aggressori informatici che le hanno già sfruttate per entrare in controllo di dati sensibili.
Le quattro vulnerabilità scoperte da Microsoft sono state utilizzate attivamente in concatenazione per ottenere l'accesso ad alcuni server Exchange. Questo ha permesso ai malintenzionati di rubare email e impiantare nuovi malware per avere ulteriore accesso alla rete.
Microsoft ha scoperto un gruppo di hacker sponsorizzato dallo stato cinese noto come Hafnium che utilizza questi attacchi contro le organizzazioni statunitensi per rubare dati.
"Storicamente, Hafnium prende di mira principalmente entità negli Stati Uniti allo scopo di recuperare informazioni da un certo numero di settori industriali, compresi i ricercatori delle malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, think tank politici e ONG", ha scritto Microsoft sul suo blog. "Nonostante Hafnium sia basato in Cina, conduce le sue operazioni principalmente da server privati virtuali affittati (VPS) negli Stati Uniti".
Affinché l'attacco bloccato dall'azienda di Redmond funzionasse, come ricorda BleepingComputer, gli aggressori avevano bisogno di accedere a un server Microsoft Exchange on-premise sulla porta 443. Se l'accesso era disponibile, gli attori della minaccia avrebbero utilizzato le seguenti vulnerabilità per ottenere l'accesso remoto:
- CVE-2021-26855 è una vulnerabilità server-side request forgery (SSRF) in Exchange che permetteva all'attaccante di inviare richieste HTTP arbitrarie e autenticarsi come server Exchange
- CVE-2021-26857 è una vulnerabilità di deserializzazione insicura nel servizio Unified Messaging. La deserializzazione insicura è quella in cui i dati non fidati controllabili dall'utente vengono deserializzati da un programma. Sfruttando questa vulnerabilità HAFNIUM ha avuto la possibilità di eseguire codice come SYSTEM sul server Exchange. Questo richiede l'autorizzazione dell'amministratore o un'altra vulnerabilità da sfruttare
- CVE-2021-26858 è una vulnerabilità di scrittura arbitraria di file post-autenticazione in Exchange. Se HAFNIUM potesse autenticarsi con il server Exchange, potrebbe usare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità CVE-2021-26855 SSRF o compromettendo le credenziali di un amministratore legittimo
- CVE-2021-27065 è una vulnerabilità di scrittura di file arbitrari post-autenticazione in Exchange. Se HAFNIUM potesse autenticarsi con il server Exchange, potrebbe usare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità CVE-2021-26855 SSRF o compromettendo le credenziali di un amministratore legittimo
A causa della gravità degli attacchi, Microsoft raccomanda agli amministratori di installare immediatamente questi aggiornamenti per proteggere i server Exchange.
Il Senior Threat Intelligence Analyst di Microsoft Kevin Beaumont ha creato uno script Nmap che può essere utilizzato per la scansione di una rete per i server Microsoft Exchange potenzialmente vulnerabili.
Cannot get X.com oEmbed
XPG Levante 240, versione dotata di due ventole da 120mm, è disponibile su Amazon al prezzo di 110,99 euro, cosa state aspettando?