Quattro vulnerabilità zero-day di Microsoft Exchange Server sono state sfruttate nel 2021 da alcuni cybercriminali. È il quadro, preoccupante, che emerge dagli accadimenti verificatisi negli ultimi giorni.
Ad inizio gennaio un ricercatore informatico denominato Orange Tsai aveva twittato di aver comunicato a Microsoft la scoperta di alcuni gravi bug di sistema. Da Redmond avevano però rassicurato gli utenti che gli attacchi che sfruttavano quelle vulnerabilità fossero limitati e mirati.
Negli ultimi giorni però le preoccupazioni in seno all’azienda di Bill Gates sono aumentate, temendo che gli hacker possedessero un codice di attacco Proof-of-Concept (PoC) che Microsoft ha precedentemente condiviso con le aziende che forniscono antivirus all’interno del Microsoft Active Protections Program (Mapp) dell’azienda.
Le 4 vulnerabilità, note come ProxyLogon, riguardano Exchange Server 2013, Exchange Server 2016 e Exchange Server 2019 ma non il servizio Exchange Online.
In particolare una è una vulnerabilità SSRF che porta a inoltrare richieste HTTP, la seconda è una vulnerabilità di “deserializzazione non sicura” del servizio di messaggistica di Exchange, mentre le ultime due sono vulnerabilità di scrittura arbitraria dei file.
Se singolarmente analizzate appaiono allarmanti, ancor peggio risultano qualora viste nel loro insieme: se sfruttate in combinazione possono portare ad esecuzione di codici da remoto (RCE) così da poter dirottare i server, installare backdoor, diffondere malware e carpire dati.
Nel report rilasciato da Microsoft si legge che queste vulnerabilità vengono utilizzate all’interno di una catena di attacchi che comincia stabilendo una connessione alla porta 443 del server Exchange.
Si ipotizza che gli attacchi siano stati opera di Hafnium, un gruppo hacker cinese specializzato in APT, descritto dalla società come un “attore altamente qualificato e sofisticato” che si muove per mezzo di VPN diffuse in tutto il mondo, specialmente negli Stati Uniti, così da poter camuffare la propria posizione.
Il collettivo hacker aveva già attaccato 30mila tra think tank, Ong, società attive nel settore della difesa, enti locali ed università, con Bloomberg che vede le stime al rialzo. Difatti sembra che almeno altri 10 gruppi APT, tra i quali Winniti Group, Calypso, Tick e LuckyMouse, abbiano sfruttato la vulnerabilità di Microsoft Exchange per compiere attacchi cibernetici.
Mentre secondo la CNN il governo statunitense sta vagliando l’ipotesi di un collegamento diretto tra gli attori di questi attacchi ed il governo cinese, il 12 marzo Microsoft ha affermato che una variante del ransomware, nota come DearCry, stava sfruttando i bug per distribuire il ransomware sui server Exchange vulnerabili.
Da Redmond ora pare siano finalmente riusciti a porre un argine a tutto questo.
Dal 18 marzo Microsoft Defender Antivirus mitiga automaticamente le vulnerabilità di Exchange Server. Secondo l’azienda, Microsoft Defender Antivirus identificherà automaticamente se un server sia vulnerabile e applicherà la correzione di mitigazione sul dispositivo, in attesa del rilascio di una nuova versione di Exchange.
In una nota Microsoft afferma che “l’aggiornamento per la protezione di Exchange è ancora il modo più completo per proteggere i server da questi attacchi e da altri risolti nelle versioni precedenti…questa mitigazione provvisoria è progettata per proteggere i clienti per tutto il tempo necessario per implementare l’ultimo aggiornamento cumulativo di Exchange”.
Come se tutto questo non bastasse, anche sul fronte Microsoft365 si sono recentemente riscontrati problemi lato server: a cavallo tra il 15 ed il 16 marzo tutti i servizi online – tra cui Office, OneDrive, Teams e Xbox Live – sono andati in down: gli utenti di tutto il mondo hanno riscontrato problemi di accesso che ne impedivano la fruizione.
Numerosi utenti di Microsoft SharePoint e Microsoft Teams, a seguito del disservizio, hanno segnalato la sparizione di diversi file o il loro spostamento nel cestino a causa di un’errata configurazione del servizio Azure Active Directory. Sebbene dall’azienda abbiano provveduto a ripristinate le copie dei file dopo l’avvio di una risincronizzazione del servizio, in molti hanno lamentato che non tutti i documenti siano stati recuperati.
