Continuano gli attacchi
ProxyShell verso i server
Microsoft Exchange che non hanno risolto le vulnerabilità
segnalate nei mesi scorsi. Lo CSIRT sottolinea che è stato rilevato un gruppo ransomware, noto come LockFile, il quale a seguito di scansioni mirate all’individuazione delle vulnerabilità in sistemi esposti, le utilizzerebbe per compromettere server Microsoft Exchange locali.
Successivamente, tramite un attacco NTLM Relay chiamato
PetitPotam, l'attaccante potrebbe
prendere il controllo del controller di dominio e quindi eseguire comandi per distribuire ransomware attraverso la rete.
Come è stato segnalato più volte, ProxyShell consiste nello sfruttamento concatenato di tre vulnerabilità di Microsoft Exchange (
CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 - risolte tra aprile e maggio 2021) che potrebbe consentire a un utente non autenticato di eseguire codice da remoto. La soluzione del problema è ovviamente
applicare le patch che sono state già distribuite, "blindando" così i server Exchange vulnerabili. Per l'attacco NTLM Relay nello specifico, Microsoft ha
pubblicato un documento mirato.
Gli attacchi portati avanti tempo sfruttando Microsoft Exchange come canale sono stati
catalogati come una attività di attacco e spionaggio sponsorizzata dal Governo cinese, allo scopo di
mettere piede nelle reti di migliaia di organizzazioni. E, potenzialmente, esfiltrarne dati.