NewsSicurezza

Scoperte gravi vulnerabilità zero-day in Microsoft Exchange

Gli attacchi per ora sono limitati, ma potrebbero aumentare man mano che altri hacker ne vengono a conoscenza

Microsoft lancia l’allarme ed esorta i propri clienti a installare le patch di emergenza il prima possibile per proteggersi da hacker altamente qualificati che stanno sfruttando attivamente quattro vulnerabilità zero-day in Microsoft Exchange Server.

Il produttore di software ha affermato che gli hacker che lavorano per conto del governo cinese hanno utilizzato gli exploit precedentemente sconosciuti per hackerare il software Exchange Server locale. Hafnium, come Microsoft chiama questo gruppo di hacker, è l’unico, per il momento che ha sfruttato le vulnerabilità, ma la società ha detto che questo scenario potrebbe cambiare.

Microsoft Exchange vulnerabilità zero-day“Anche se abbiamo lavorato rapidamente per distribuire un aggiornamento contro gli exploit di Hafnium, sappiamo che gruppi criminali si muoveranno rapidamente per trarre vantaggio da eventuali sistemi privi di patch,ha dichiarato Tom Burt, Corporate Vice President of Customer Security & Trust, in un post pubblicato ieri pomeriggio. “L’applicazione tempestiva delle patch rilasciate nella giornata è la migliore protezione contro questo attacco.”

Burt non ha identcato quali siano gli obiettivi del gruppo di hacker, ma ha solo rivelato che sono aziende che utilizzano il software Exchange Server in locale. Il manager ha inoltre dichiarato che Hafnium opera dalla Cina, principalmente allo scopo di rubare dati da ricercatori di malattie infettive con sede negli Stati Uniti, studi legali, istituti di istruzione superiore, appaltatori della difesa, gruppi politici e organizzazioni non governative.

Microsoft Exchange, ecco le 4 vulnerabilità zero-day che richiedono le patch

Le quattro vulnerabilità scoperte che devono essere “patchate” il prima possibile sono:

  • CVE-2021-26855, una vulnerabilità SSRF (server-side request forgery) che ha consentito agli aggressori di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.
  • CVE-2021-26857, una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. Questo si verifica quando i dati non attendibili controllabili dall’utente vengono deserializzati da un programma. Lo sfruttamento di questa vulnerabilità ha consentito ad Hafnium di eseguire codice come SYSTEM sul server Exchange. Questo richiede l’autorizzazione dell’amministratore o un’altra vulnerabilità da sfruttare.
  • CVE-2021-26858, una vulnerabilità di scrittura arbitraria di file post-autenticazione. Se Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Il gruppo potrebbe autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.
  • CVE-2021-27065, una vulnerabilità di scrittura arbitraria di file post-autenticazione. Se il gruppo di hacker Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbe autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.

L’attacco, ha dichiarato Burt, includeva tre passaggi. Per prima cosa gli hacker ottenevano l’accesso a un server Exchange con password rubate o utilizzando un zero-day per mascherarsi da personale che dovrebbe avere accesso. In secondo luogo creavano una shell web per controllare da remoto il server compromesso e per finire usavano  quell’accesso remoto per rubare i dati dalla rete di un obiettivo.

Workstation Lenovo ThinkStation P500 Xeon E5-1620 V3 RAM32Gb SSD 512Gb Grafica Dedicata Quadro 2000 2Gb Win 10 Pro con Licenza Nuova MAR Microsoft Authorized Refurbisher (Ricondizionato)
  • IL PRODOTTO COMPRENDE LA LICENZA WINDOWS 10 PRO NUOVA SENZA SCADENZA.
  • Per verificare l'autenticità del prodotto MAR (Certificato Microsoft per il ricondizionato) il prodotto presenta l’adesivo della licenza Windows 10 Nuova, da grattare per visualizzare il codice Product Key, questo garantisce la conformità di questo prodotto “MAR Microsoft Authorized Refurbisher”.
  • Questo PC richiede l'attivazione del sistema operativo da parte dell'utente, questa operazione, ne garantisce la Certificazione MAR e viene pertanto richiesta accettazione, durante la prima accensione, dei termini di utilizzo Microsoft. Win 7 aggiornato a Win 10 già installato non è conforme, ha un costo inferiore e non garantisce la sicurezza professionale di un prodotto MAR.
  • Inclusi Software di backup e recovery "Acronis true image" con licenza inclusa per sempre senza pagamenti aggiuntivi, Antivirus mcafee full incluso gratuito per 1 anno, Tastiera e Mouse inclusi in Regalo

Da non perdere questa settimana su Techbusiness

🎙 Intervista a Giampiero Savorelli Managing Director di HP Italy per A ruota libera
 
👨‍💻Uno sguardo in anteprima a CyberArk Secure Browser
 
👀AI ibrida e aperta la visione di Red Hat
 
🎤La doppia faccia dell'intelligenza artificiale -  Intervista a Umberto Pirovano di Palo Alto Networks
 🎧
 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
 
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
 
💌 Risolviamo i tuoi problemi di cuore con B1NARY
 
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
 
💸E trovi un po' di offerte interessanti su Telegram!

Autore

  • Danilo Loda

    100% "milanes", da una vita scrivo di bit e byte e di quanto inizia con on e finisce con off. MI piace tutto quello che fa rumore, meglio se con un motore a scoppio. Amo viaggiare (senza google Maps) lo sport, soprattutto se è colorato di neroazzuro.

    Visualizza tutti gli articoli

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button