Microsoft sta mettendo in allerta le aziende da nuovi pericolosi attacchi provenienti dalla Cina ai server Exchange.

9  MAGGIO 2023 | Dopo le molteplici raccomandazioni di effettuare gli aggiornamenti, Microsoft ha fatto sapere di aver messo a punto un sistema per limitare e in alcuni casi bloccare i server Exchange che risultano essere ancora vulnerabili alle falle corrette ormai da due anni.

Per risolvere questo problema, stiamo abilitando un sistema di imposizione basato sul trasporto in Exchange Online che ha tre funzioni principali: segnalazione, limitazione e blocco. Il sistema è progettato per avvisare un amministratore dei server Exchange non supportati o privi di patch nel proprio ambiente locale che necessitano di correzione (aggiornamento o applicazione di patch). Il sistema ha anche capacità di limitazione e blocco, quindi se un server non viene corretto, il flusso di posta da quel server verrà limitato (ritardato) e infine bloccato.

4 GENNAIO 2023 | Dopo il rilascio della patch a novembre da parte di Microsoft, i ricercatori di sicurezza segnalano che sarebbero circa 60.000 i server sparsi nel mondo ancora vulnerabili alla falla ProxyNotShell che non hanno installato gli ultimi aggiornamenti di sicurezza.

5 OTTOBRE 2022 | Microsoft ha segnalato l’esistenza di due nuove vulnerabilità 0-day identificate come CVE-2022-41040 e CVE-2022-41082 e soprannominate ProxyNotShell, che potenzialmente mettono a rischio circa 200.000 server Exchange sparsi per il mondo. Al momento non esistono patch ma Microsoft ha rilasciato già delle mitigazioni da applicare per impedire lo sfruttamento di questa nuova falla di sicurezza.

23 NOVEMBRE 2021 | Secondo quanto riporta Microsoft, i server Exchange sarebbero vittima di un’altra vulnerabilità CVE-2021-42321 sfruttata attivamente. Fortunatamente Microsoft ha già corretto la falla, ma si raccomanda di aggiornare i server il prima possibile.

30 AGOSTO 2021 | Stando a un nuovo report dei ricercatori di sicurezza, i server Exchange sarebbero vittima di un’altra vulnerabilità CVE-2021-33766, ribattezzata ProxyToken, che consentirebbe a un malintenzionato di modificare la configurazione del server. La falla anche in questo caso è stata fortunatamente già corretta da Microsoft, ma rappresenta ancora un problema per i server non aggiornati.

26 AGOSTO 2021 | Microsoft continua a esortare le aziende ad aggiornare i propri sistemi con le ultime patch di sicurezza per proteggere i server dalla vulnerabilità ProxyShell vittima di numerosi attacchi negli ultimi giorni.

La scorsa settimana, i ricercatori di sicurezza hanno discusso diverse vulnerabilità di ProxyShell, comprese quelle che potrebbero essere sfruttate su server Exchange senza patch per distribuire ransomware o condurre altre attività post-sfruttamento. Se hai installato gli aggiornamenti di sicurezza di maggio 2021 o gli aggiornamenti di sicurezza di luglio 2021 sui tuoi server Exchange, sei protetto da queste vulnerabilità. Anche i clienti di Exchange Online sono protetti (ma devono assicurarsi che tutti i server Exchange ibridi siano aggiornati).

22 AGOSTO 2021 | Stando a nuovi report, sarebbe in corso un’autentica ondata di attacchi ransomware ai server Exchange non protetti dalla vulnerabilità ProxyShell. In particolare sarebbero oltre 2000 i server hackerati, in parte anche in Italia nelle scorse ore.

13 AGOSTO 2021 | Dopo le raccomandazioni di Microsoft, stando a un nuovo report, sembrerebbe che alcuni malintenzionati stiano già sfruttando le ultime vulnerabilità scoperte e già corrette, nome in codice ProxyShell, per colpire i server Exchange non ancora aggiornati.

9 AGOSTO 2021 | Sono emerse in rete tre nuove vulnerabilità dei server Exchange ribattezzate ProxyShell, tuttavia sono già state corrette da Microsoft con una patch ad aprile, sebbene rappresentino una seria minaccia sui sistemi non aggiornati regolarmente.

23 APRILE 2021 | Stando al report di un ricercatore, i server Exchange coinvolti dalla vulnerabilità e ancora sprovvisti delle patch sono ora vittima di una botnet di origine russa denominata Prometei e specializzata nella diffusione di malware per il mining di criptovalute.

14 APRILE 2021 | Stando a un nuovo report, ci sarebbe un nuovo retroscena della vicenda negli Stati Uniti. L’FBI sarebbe intervenuta direttamente sui server Exchange compromessi dalle vulnerabilità rimuovendo la web shell senza il permesso dei proprietari. Intanto, sempre sul suono statunitense, l’NSA ha avvertito Microsoft si altre quattro vulnerabilità scoperte e corrette con le patch di sicurezza di aprile.

23 MARZO 2021 | Microsoft ha annunciato che a oggi oltre il 90 % del totale dei server Exchange è protetto dalle vulnerabilità ProxyLogon.

19 MARZO 2021 | Per aiutare ulteriormente le aziende a ricevere gli ultimi aggiornamenti di sicurezza, Microsoft ha annunciato che la patch per le vulnerabilità ProxyLogon è ora distribuita automaticamente anche tramite Microsoft Defender.

Oggi abbiamo compiuto un ulteriore passo avanti per supportare ulteriormente i nostri clienti che sono ancora vulnerabili e non hanno ancora implementato l’aggiornamento completo della sicurezza. Con l’ultimo aggiornamento dell’intelligence sulla sicurezza, Microsoft Defender Antivirus e System Center Endpoint Protection mitigheranno automaticamente CVE-2021-26855 su qualsiasi Exchange Server vulnerabile su cui è distribuito.

16 MARZO 2021 | Microsoft ha rilasciato un tool per aiutare le piccole aziende ad aggiornare i propri sistemi e server Exchange e proteggerli dalle vulnerabilità ProxyLogon.

Microsoft ha rilasciato un nuovo strumento di mitigazione con un click, Microsoft Exchange On-Premises Mitigation Tool, per aiutare i clienti che non dispongono di team IT o di sicurezza dedicati ad applicare questi aggiornamenti di sicurezza. Abbiamo testato questo strumento nelle distribuzioni di Exchange Server 2013, 2016 e 2019. Questo nuovo strumento è progettato come mitigazione provvisoria per i clienti che non hanno familiarità con il processo di patch / aggiornamento o che non hanno ancora applicato l’aggiornamento della protezione di Exchange locale.

14 MARZO 2021 | Microsoft ha pubblicato un primo bilancio dell’attacco ai server Exchange dei giorni scorsi, classificato ora come di vasta portata. Stando al report, gli exploit delle vulnerabilità rinominate ProxyLogon iniziati dalla Cina sono ora sfruttati anche da altri cyber-criminali con attacchi malware e ransomware. Stando alle stime, sarebbero ancora 82’000 i server vulnerabili che Microsoft sta facendo di tutto per aggiornare.

Hafnium attacca le aziende

Un gruppo di cyber-criminali dietro il nome di Hafnium sta sfruttando quattro falle 0-day per colpire i server Exchange delle aziende e ottenere accesso remoto con il rischio di un furto di dati dalle e-mail e la diffusione ulteriore di malware nella rete. Microsoft ha prontamente rilasciato una patch di sicurezza straordinaria e raccomanda agli amministratori di tenere aggiornati i sistemi.

Microsoft ha rilevato più exploit 0-day utilizzati per attaccare versioni locali di Microsoft Exchange Server in attacchi limitati e mirati. Negli attacchi osservati, l’attore della minaccia ha utilizzato queste vulnerabilità per accedere ai server Exchange locali che abilitavano l’accesso agli account di posta elettronica e consentivano l’installazione di malware aggiuntivo per facilitare l’accesso a lungo termine agli ambienti delle vittime. Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna con grande fiducia ad HAFNIUM, un gruppo che si ritiene sia sponsorizzato dallo stato e operante fuori dalla Cina, sulla base di vittimologia, tattiche e procedure osservate.

Trovate maggiori dettagli sulla vicenda e sulle vulnerabilità sfruttate a questo indirizzo. Cosa ne pensate di questi problemi di sicurezza? Fateci sapere la vostra opinione nei commenti.

Articolo di Windows Blog Italia