Microsoft lancia l’allarme ed esorta i propri clienti a installare le patch di emergenza il prima possibile per proteggersi da hacker altamente qualificati che stanno sfruttando attivamente quattro vulnerabilità zero-day in Microsoft Exchange Server.
Il produttore di software ha affermato che gli hacker che lavorano per conto del governo cinese hanno utilizzato gli exploit precedentemente sconosciuti per hackerare il software Exchange Server locale. Hafnium, come Microsoft chiama questo gruppo di hacker, è l’unico, per il momento che ha sfruttato le vulnerabilità, ma la società ha detto che questo scenario potrebbe cambiare.
“Anche se abbiamo lavorato rapidamente per distribuire un aggiornamento contro gli exploit di Hafnium, sappiamo che gruppi criminali si muoveranno rapidamente per trarre vantaggio da eventuali sistemi privi di patch,” ha dichiarato Tom Burt, Corporate Vice President of Customer Security & Trust, in un post pubblicato ieri pomeriggio. “L’applicazione tempestiva delle patch rilasciate nella giornata è la migliore protezione contro questo attacco.”
Burt non ha identcato quali siano gli obiettivi del gruppo di hacker, ma ha solo rivelato che sono aziende che utilizzano il software Exchange Server in locale. Il manager ha inoltre dichiarato che Hafnium opera dalla Cina, principalmente allo scopo di rubare dati da ricercatori di malattie infettive con sede negli Stati Uniti, studi legali, istituti di istruzione superiore, appaltatori della difesa, gruppi politici e organizzazioni non governative.
Microsoft Exchange, ecco le 4 vulnerabilità zero-day che richiedono le patch
Le quattro vulnerabilità scoperte che devono essere “patchate” il prima possibile sono:
- CVE-2021-26855, una vulnerabilità SSRF (server-side request forgery) che ha consentito agli aggressori di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.
- CVE-2021-26857, una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. Questo si verifica quando i dati non attendibili controllabili dall’utente vengono deserializzati da un programma. Lo sfruttamento di questa vulnerabilità ha consentito ad Hafnium di eseguire codice come SYSTEM sul server Exchange. Questo richiede l’autorizzazione dell’amministratore o un’altra vulnerabilità da sfruttare.
- CVE-2021-26858, una vulnerabilità di scrittura arbitraria di file post-autenticazione. Se Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Il gruppo potrebbe autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.
- CVE-2021-27065, una vulnerabilità di scrittura arbitraria di file post-autenticazione. Se il gruppo di hacker Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbe autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.
L’attacco, ha dichiarato Burt, includeva tre passaggi. Per prima cosa gli hacker ottenevano l’accesso a un server Exchange con password rubate o utilizzando un zero-day per mascherarsi da personale che dovrebbe avere accesso. In secondo luogo creavano una shell web per controllare da remoto il server compromesso e per finire usavano quell’accesso remoto per rubare i dati dalla rete di un obiettivo.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
