NewsSicurezza

Scoperte gravi vulnerabilità zero-day in Microsoft Exchange

Gli attacchi per ora sono limitati, ma potrebbero aumentare man mano che altri hacker ne vengono a conoscenza

Microsoft lancia l’allarme ed esorta i propri clienti a installare le patch di emergenza il prima possibile per proteggersi da hacker altamente qualificati che stanno sfruttando attivamente quattro vulnerabilità zero-day in Microsoft Exchange Server.

Il produttore di software ha affermato che gli hacker che lavorano per conto del governo cinese hanno utilizzato gli exploit precedentemente sconosciuti per hackerare il software Exchange Server locale. Hafnium, come Microsoft chiama questo gruppo di hacker, è l’unico, per il momento che ha sfruttato le vulnerabilità, ma la società ha detto che questo scenario potrebbe cambiare.

Microsoft Exchange vulnerabilità zero-day“Anche se abbiamo lavorato rapidamente per distribuire un aggiornamento contro gli exploit di Hafnium, sappiamo che gruppi criminali si muoveranno rapidamente per trarre vantaggio da eventuali sistemi privi di patch,ha dichiarato Tom Burt, Corporate Vice President of Customer Security & Trust, in un post pubblicato ieri pomeriggio. “L’applicazione tempestiva delle patch rilasciate nella giornata è la migliore protezione contro questo attacco.”

Burt non ha identcato quali siano gli obiettivi del gruppo di hacker, ma ha solo rivelato che sono aziende che utilizzano il software Exchange Server in locale. Il manager ha inoltre dichiarato che Hafnium opera dalla Cina, principalmente allo scopo di rubare dati da ricercatori di malattie infettive con sede negli Stati Uniti, studi legali, istituti di istruzione superiore, appaltatori della difesa, gruppi politici e organizzazioni non governative.

Microsoft Exchange, ecco le 4 vulnerabilità zero-day che richiedono le patch

Le quattro vulnerabilità scoperte che devono essere “patchate” il prima possibile sono:

  • CVE-2021-26855, una vulnerabilità SSRF (server-side request forgery) che ha consentito agli aggressori di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.
  • CVE-2021-26857, una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. Questo si verifica quando i dati non attendibili controllabili dall’utente vengono deserializzati da un programma. Lo sfruttamento di questa vulnerabilità ha consentito ad Hafnium di eseguire codice come SYSTEM sul server Exchange. Questo richiede l’autorizzazione dell’amministratore o un’altra vulnerabilità da sfruttare.
  • CVE-2021-26858, una vulnerabilità di scrittura arbitraria di file post-autenticazione. Se Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Il gruppo potrebbe autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.
  • CVE-2021-27065, una vulnerabilità di scrittura arbitraria di file post-autenticazione. Se il gruppo di hacker Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbe autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.

L’attacco, ha dichiarato Burt, includeva tre passaggi. Per prima cosa gli hacker ottenevano l’accesso a un server Exchange con password rubate o utilizzando un zero-day per mascherarsi da personale che dovrebbe avere accesso. In secondo luogo creavano una shell web per controllare da remoto il server compromesso e per finire usavano  quell’accesso remoto per rubare i dati dalla rete di un obiettivo.

Workstation Lenovo ThinkStation P500 Xeon E5-1620 V3 RAM 32Gb SSD 512Gb Grafica Quadro k2000 2Gb Win 10 Pro con Licenza Nuova Simpaticotech MAR Microsoft Authorized Refurbisher (Ricondizionato)
  • IL PRODOTTO COMPRENDE LA LICENZA WINDOWS 10 PRO NUOVA SENZA SCADENZA. Per verificare l'autenticità del prodotto MAR (Certificato Microsoft per il ricondizionato) il prodotto presenta l’adesivo della licenza Windows 10 Nuova, da grattare per visualizzare il codice Product Key, questo garantisce la conformità di questo prodotto “MAR Microsoft Authorized Refurbisher”.
  • Questo PC richiede l'attivazione del sistema operativo da parte dell'utente, questa operazione, ne garantisce la Certificazione MAR e viene pertanto richiesta accettazione, durante la prima accensione, dei termini di utilizzo Microsoft. Win 7 aggiornato a Win 10 già installato non è conforme, ha un costo inferiore e non garantisce la sicurezza professionale di un prodotto MAR.
  • Inclusi Software di backup e recovery "Acronis true image" con licenza inclusa per sempre senza pagamenti aggiuntivi, Antivirus mcafee full incluso gratuito per 1 anno, Tastiera e Mouse inclusi in Regalo
  • Cache processore: 10 MB, Numero di core del processore: 4, Tipo drive ottico: DVD, Collegamento ethernet LAN: Sì, Wi-Fi: No, Quantità porte USB 2.0: 4, Quantità porte USB 3.0 (3.1 Gen 1) tipo A: 8, Porta DVI: No, Quantità porte PS/2: 2, Porte seriali: 1, x1 slot PCI Express: 1, PCI Express x4 slots: 1, PCI Express x16 slots: 2, Slot PCI: 1, Numero di vani per drive 3.5": 4

Danilo Loda

100% "milanes", da una vita scrivo di bit e byte e di quanto inizia con on e finisce con off. MI piace tutto quello che fa rumore, meglio se con un motore a scoppio. Amo viaggiare (senza google Maps) lo sport, soprattutto se è colorato di neroazzuro.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button