Microsoft ha pubblicato le patch di emergenza per risolvere quattro vulnerabilità zero day in Exchange Server. Stando a quanto precisato dall'azienda di Redmond, tali falle sono già sfruttate attivamente da un gruppo APT sponsorizzato dallo stato cinese, con l'obiettivo di rubare dati.

Nella nota ufficiale il Microsoft Threat Intelligence Center (MSTIC) descrive gli attacchi come "limitati e mirati". Gli esperti reputano che i cyber criminali abbiano utilizzato queste vulnerabilità per accedere ai server Exchange, ottenendo l'accesso agli account di posta elettronica e spianando la strada all'installazione di malware aggiuntivo per facilitare l'accesso a lungo termine agli ambienti delle vittime.

L'azienda statunitense si dice convinta che l'autore delle minacce sia il gruppo APT chiamato HAFNIUM, un collettivo di hacker sponsorizzato dallo stato che opera fuori dalla Cina. Tuttavia resta il sospetto che possano essere coinvolti più operatori che utilizzano un'ampia varietà di strumenti e metodi per rubare le credenziali, muoversi lateralmente e installare backdoor.

HAFNIUM viene descritto come un "attore altamente qualificato e sofisticato" che colpisce principalmente vittime statunitensi con l'obiettivo di esfiltrare informazioni sensibili da una serie di settori industriali. Fra questi figurano i centri di ricerca sulle malattie infettive, gli studi legali, gli istituti di istruzione superiore, gli appaltatori della difesa, importanti enti politici e ONG.
Gli esperti ritengono altresì che HAFNIUM orchestrasse i suoi attacchi sfruttando server privati virtuali affittati negli Stati Uniti nel tentativo di mascherare la propria attività.

Attacco in tre fasi

L'attacco in tre fasi inizia con l'accesso a un server Exchange usando password rubate o sfruttando vulnerabilità zero day. A questo punto subentra la seconda fase, che consiste nella distribuzione di una Web shell per controllare da remoto il server compromesso. Terzo e ultimo step è l'uso dell'accesso remoto per saccheggiare le caselle email dell'azienda ed esportare i dati raccolti in siti di condivisione file come MEGA.

Concentrandoci sulla parte riguardante le falle zero day, Microsoft ne ha identificate quattro grazie ai ricercatori di Volexity e Dubex che hanno contribuito all'analisi della kill chain. CVE-2021-26855 è una vulnerabilità SSRF (Request Forgery) sul lato server che potrebbe essere sfruttata da un attaccante per eseguire l'autenticazione come server Exchange inviando richieste HTTP arbitrarie.

CVE-2021-26857 è una vulnerabilità di deserializzazione non sicura che risiede nel servizio messaggistica unificata. Il difetto potrebbe essere sfruttato da un attaccante con l'autorizzazione amministrativa per eseguire codice come SYSTEM sul server Exchange. CVE-2021-26858 e CVE-2021-27065 consentono invece la scrittura arbitraria di file post-autenticazione in Exchange.

Patch e mitigazioni

Queste falle riguardano Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, ma a titolo precauzionale Microsoft sta aggiornando anche Exchange Server 2010. Data la gravità di queste falle, non sorprende che le patch siano state implementate una settimana prima del tradizionale Patch Tuesday. Si consiglia a tutti coloro che hanno in uso una versione vulnerabile di Exchange Server di installare immediatamente gli aggiornamenti.
Temporaneamente si può mitigare il problema limitando le connessioni non attendibili o utilizzando una VPN per l'accesso esterno al server Exchange. Il motivo è che l'attacco iniziale richiede una connessione non attendibile alla porta 443 del server Exchange. È inoltre disponibile un plug-in nmap che può essere utilizzato per scansionare la rete alla ricerca di server Microsoft Exchange potenzialmente vulnerabili.

Da quanto tempo è attivo l'attacco

Microsoft ha sottolineato che gli exploit riportati sopra non hanno nulla a che vedere con l'attacco alla supply chain di Solar Winds. Una precisazione dovuta, considerato che Exchange è stato marginalmente coinvolto nell'attacco che ha interessato Microsoft.

Detto questo, sono state allertate le agenzie governative statunitensi. Al momento Microsoft non sa quante organizzazioni siano state prese di mira e se gli attacchi abbiano avuto successo. Le indagini condotte finora hanno rivelato che le campagne di intrusione sembrano essere iniziate intorno al 6 gennaio 2021.

È in questo periodo che l'azienda di sicurezza Volexity, specializzata in incident response, ha rilevato per la prima volta lo sfruttamento attivo delle vulnerabilità di Microsoft Exchange. I ricercatori di Volexity Josh Grunzweig, Matthew Meltzer, Sean Koessel, Steven Adair e Thomas Lancaste sottolineano che "all'inizio gli attaccanti hanno operato in maniera silente semplicemente rubando e-mail. Di recente hanno iniziato a lanciare exploit per ottenere un punto d'appoggio", ed è qui che sono stati scoperti.