Falle di Exchange: sono almeno 10 i gruppi hacker all’attacco
Dopo la scoperta delle quattro vulnerabilità zero-day di Microsoft Exchange Server avvenuta nei giorni scorsi, si sta verificando un’intensificazione delle attività di hacker e criminali che cercano di sfruttare ancora l’esistenza di queste falle presso le infrastrutture di chi ancora non è corso ai ripari.
Decine di migliaia di realtà in tutto il mondo sono state colpite da attacchi informatici che hanno sfuttato le vulnerabilità con lo scopo di compromettere reti e probabilmente ottenere persistenza sui sistemi. La prima ondata di attacchi, che si è verificata fin da gennaio quando ancora le vulnerabilità non erano pubblicamente note ma erano già state segnalate a Microsoft, è stata attrbuita ad un gruppo di hacker conosciuto con il nome di Hafnium.
Rincorsa a sfruttare le vulnerabilità di Exchange: almeno 10 gruppi individuati
Ma in realtà, come già accennato in precedenza, Hafnium non è l’unico gruppo che ha preso di mira le vulnerabilità di Exchange e i sistemi che ancora non hanno ricevuto gli opportuni aggiornamenti di sicurezza. La società ESET ha individuato almeno 10 gruppi che stanno attivamente tentando di compromettere i sistemi ancora vulnerabili tra i quali Winniti Group, Calypso, Tick e LuckyMouse. La maggior parte dei gruppi di hacking identificati si occupano per lo più di spionaggio informatico mentre uno è dedicato alla diffusione di miner occulti di criptovaluta
Le analisi condotte da ESET hanno evidenziato la presenza di webshell che consentono il controllo da remoto tramite un browser web, su oltre 5 mila server unici dislocati in oltre 115 paesi. L’aspetto importante è che molte di queste webshell sono state rilevati solamente la scorsa settimana, esattamente da quando si sono intensificate le attività degli hacker che cercano di sfruttare la finestra temporale tra la divulgazione delle vulnerabilità con la conseguente disponibilità delle patch correttive e il momento in cui le patch saranno effettivamente applicate a tutti i sistemi vulnerabili.
Rilevazioni delle webshell per Paese – Fonte: ESET
Chiaramente per pura probabilità è lecito immaginare che vi siano ancora altri gruppi, oltre a quelli che ESET è riuscita a individuare, all’opera per sfruttare la situazione ed è proprio questo il motivo per cui la priorità di tutte le realtà che potrebbero, anche solo potenzialmente, essere toccate dal problema è quella di aggiornare i sistemi il prima possibile.
Aggiornare il prima possibile non basta: cercare anche gli indicatori di compromissione
Exchange permette alle aziende di utilizzare risorse quali email, calendario e strumenti di comunicazione e di fatto in molte situazioni rappresenta il cuore delle comunicazione aziendale di imprese piccole e grandi. E’ il motivo per cui un attacco che sfrutta le quattro vulnerabilità venute a galla nei giorni scorsi ha il potenziale di causare danni significativi alle vittime: la possibilità di intrufolarsi nella rete aziendale e stabilire un punto d’appoggio e di persistenza mette gli attaccanti nelle condizioni di poter condurre veramente qualsiasi azione essi vogliano, dallo spionaggio alla distruzione dell’operatività.
In ogni caso anche l’applicazione tempestiva delle patch di sicurezza non è un processo privo di ostacoli. Nel momento in cui si mette mano ad una parte chiave dell’infrastruttura comunicativa aziendale è bene tenere presente quali potrebbero essere i tempi di inattività dei server e gli eventuali problemi di compatibilità con altre applicazioni già esistenti. Spesso l’applicazione delle patch non può essere estemporanea ma deve essere pianificata proprio per tali motivi, e ciò offre agli hacker lo spazio per poter sfruttare l’opportunità di condurre l’attacco.
Ed è poi opportuno osservare che anche nel momento in cui le patch sono state applicate, è bene condurre una analisi profonda dei log dei server alla ricerca di indicatori che possano indicare l’avvenuta compromissione, così come la ricerca di eventuali backdoor o punti d’accesso o ancora elementi di persistenza che potrebbero consentire agli attaccanti di mantenere il controllo dei sistemi anche a seguito dell’installazione delle patch di sicurezza.
Microsoft ha reso inoltre disponibili su GitHub una serie di strumenti per affrontare il problema, dalla verifica delle vulnerabilità alle mitigazioni temporanee.
Fonte: http://feeds.hwupgrade.it/