Torniamo a parlare delle applicazioni che fanno parte della suite Microsoft 365, servizi che, come ripetiamo spesso, vanno protetti come qualsiasi altro asset importante, specie quando vengono utilizzati dalla propria azienda per le operazioni di tutti i giorni. Nello specifico, in questo approfondimento trattiamo una vulnerabilità riscontrata in SharePoint, strumento che consente di creare dei portali fruibili solo da reti interne ma che all’occorrenza possono essere anche pubblicati in rete.
Nei giorni scorsi è uscita la notizia di un attacco hacker che, sfruttando una vulnerabilità già nota, sarebbe riuscito ad arrivare all’obiettivo di fare breccia nelle reti aziendali mettendo a rischio una non precisata organizzazione. La vulnerabilità alla quale viene fatto riferimento è stata contrassegnata dalla sigla CVE-2024-38094 con un punteggio di gravità abbastanza elevato pari a 7.2 su 10, che è stata sfruttata mediante l’accesso ad un altro account Microsoft con privilegi admin, stavolta sull’app Exchange. Questo accesso ha consentito all’attaccante di insinuarsi nelle reti aziendali riuscendo poi a compromettere l’intero dominio. Il server che utilizzava i servizi Microsoft 365 e sul quale è stato possibile fare breccia sembra essere stato on-premise, e per non far rilevare le attività malevole è stato installato anche un secondo antivirus che facesse breccia col principale, riuscendo quindi a far agire indisturbati gli hacker.
Dopo questa attività, sono state effettuate molte altre operazioni per proteggere l’attacco ed evitare il tracciamento delle attività, come ad esempio il furto di credenziali mediante l’utilizzo di Mimikatz, la disattivazione di Windows Defender e la modifica dei registri delle attività. Oltretutto, gli hacker hanno anche tentato la mossa della cancellazione dei backup, senza però riuscire nell’intento.
Per arrivare a monte del problema, però, torniamo a parlare dell’importanza degli aggiornamenti delle applicazioni che si utilizzano, visto che anche in questo caso la vulnerabilità era, come accennato, già nota. Più specificatamente, il 9 luglio scorso gli sviluppatori Microsoft avevano rilasciato una patch che mitigasse proprio questo problema, che può portare all’esecuzione di codice da remoto oltre ad una lunghissima serie di altri, gravi, problemi. Dato che l’attacco del quale stiamo parlando sembrerebbe essere accaduto successivamente, è importante che tutti coloro che non hanno effettuato aggiornamenti a Microsoft 365 e soprattutto all’app SharePoint provvedano subito ad installare tutte le patch disponibili, visto che a rischio ci sono anche i dati raccolti all’interno dei server.
Fonte: 1