All’inizio di marzo Microsoft ha annunciato la scoperta di quattro importanti vulnerabilità nei sistemi Exchange on-premises, ovvero quelli utilizzati nei server interni alle aziende. Lo CSIRT Italiano ha diffuso nei giorni scorsi una guida per capirne le criticità e le modalità di mitigazione, elencando le vulnerabilità coinvolte, che sono le seguenti:
- CVE-2021-26855
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Tutte queste falle di sicurezza danno possibilità agli hacker di accedere agli account di posta Microsoft Exchange delle aziende, riuscendo anche a sottrarre dati ed avere persistenza sui server. Le versioni coinvolte in queste vulnerabilità sono Microsoft Exchange Server 2010, 2013, 2016 e 2019. Exchange Online, al contrario, non risulta coinvolto in questi problemi.
L’attacco segue una serie di tappe che cominciano con un primo controllo dei sistemi della vittima per poi preparare l’introduzione. Una volta ottenuto l’accesso sfruttando le varie vulnerabilità gli hacker possono iniziare l’esecuzione dei codici arbitrari, essi poi conferiranno all’attaccante vari privilegi che gli consentiranno di portare avanti l’attacco.
Il passo successivo è quello della preparazione del campo per rubare dati e garantirsi la persistenza nei sistemi delle vittime. Per persistenza si intende la capacità di non perdere i privilegi acquisiti anche dopo l’installazione di patch od operazioni come la modifica delle credenziali d’accesso ed il riavvio delle macchine.
L’attacco quindi prosegue creando un account di dominio ad-hoc, un fattore necessario a garantire la persistenza. Successivamente, gli hacker iniziano a rubare le credenziali d’accesso di tutti i profili esistenti e compromettono altri account della stessa rete. Uno degli ultimi passi è quello della raccolta di tutte le informazioni creando file .zip o .rar che serviranno poi per la successiva esfiltrazione dei dati.
Per dare una soluzione al problema, Microsoft ha rilasciato una serie di linee guida e patch di aggiornamento suddividendole in base alla versione compromessa. Esse possono essere trovate nei canali ufficiali di Supporto dell’azienda. Oltre alle varie patch, è stata messa a disposizione una versione ad-hoc di Microsoft Defender, che eseguirà la scansione dei sistemi alla ricerca della vulnerabilità CVE-2021-26855. Questo tool è stato introdotto per coloro che non hanno installato l’aggiornamento cumulativo di Exchange Server e che vogliono rimuovere rapidamente la problematica.
Le falle di sicurezza di cui abbiamo raccontato stanno ancora destando diverse preoccupazioni tra gli esperti di cybersecurity, questo perché hanno anche favorito altri attacchi di diverso genere. La presa di controllo degli account infatti può essere una sorta di primo passo per campagne spam massive da parte degli hacker, che potrebbero veicolare così elementi nocivi come malware e simili.
Le vulnerabilità zero-day come quelle appena viste possono rivelarsi molto insidiose, specie quando portano ad incursioni nelle infrastrutture aziendali. Tali sistemi comportano una serie di rischi e di svantaggi al netto di pochissimi vantaggi. Per quel che riguarda Exchange, Microsoft mette a disposizione anche una versione online acquistabile da rivenditori come Hosting Solutions, che inseriscono nelle loro offerte anche licenze per Microsoft 365, comprensivo anche di caselle Microsoft Exchange e di molti altri strumenti utili per le aziende.
Così facendo, si abbatterebbero tutti i costi di attivazione e mantenimento di un’infrastruttura interna potendo anche contare su sistemi di sicurezza sicuramente migliori di quelli acquistabili sul mercato da una singola azienda.