Il team di Microsoft Exchange Server ha pubblicato su GitHub uno script che consente agli amministratori IT di verificare se i loro sistemi sono vulnerabili ai bug zero-day divulgati di recente. Lo script è stato aggiornato per includere Indicatori di Compromissione (IoC) collegati alle quattro vulnerabilità zero-day che sono state scoperte in Exchange Server.

Anche la CISA (CyberSecurity and Infrastructure Security) ha emesso un avviso in cui esorta le aziende ad aggiornare i propri server Microsoft Exchange con l'ultima versione disponibile, e usare lo script per verificare eventuali compromissioni. L'Agenzia scrive che "CISA è consapevole dello sfruttamento domestico e internazionale diffuso di queste vulnerabilità e raccomanda vivamente alle organizzazioni di eseguire lo script Test-ProxyLogon.ps1 - il prima possibile - per aiutare a determinare se i loro sistemi sono compromessi".

La situazione è complessa, perché i ricercatori di sicurezza stimano che più gruppi di spionaggio informatico abbiano preso di mira i server Exchange vulnerabili. A quanto pare, i cyber criminali sembrano avere risposto alla disponibilità delle patch intensificando e automatizzando la campagna di hacking. In un tweet, l'ex capo della CISA Chris Krebs scrive che "Se l'organizzazione ha un server OWA esposto a Internet deve supporre che sia stato compromessa tra il 26/02 e il 03/03".

Gli attaccanti

A questo punto è doveroso chiarire che Microsoft aveva puntato il dito contro il gruppo APT chiamato HAFNIUM, un collettivo di hacker sponsorizzato dallo stato che opera fuori dalla Cina. Tuttavia altri esperti di sicurezza reputano che questo gruppo non sia l'unico coinvolto.
ESET ha pubblicato un

https://twitter.com/ESETresearch/status/1366862948057178115

">tweet nei giorni scorsi secondo cui "almeno la falla CVE-2021-26855 è attivamente sfruttata in natura da diversi gruppi di cyber-spionaggio, fra cui LuckyMouse, Tick, Calypso e alcuni cluster aggiuntivi ma non classificati".

Sempre ESET reputa che la maggior parte degli obiettivi si trovi negli Stati Uniti, ma che sono stati identificati anche attacchi contro server in Europa, Asia e Medio Oriente. A tale riguardo, in una nota Kaspersky sottolinea che i suoi ricercatori stanno assistendo ad un incremento di attacchi che tentano di sfruttare queste vulnerabilità in Italia, Austria e Svizzera. Gli attacchi sono rivolti contro organizzazioni governative, studi legali, strutture mediche e aziende private. Una fonte anonima avrebbe rivelato a Wired che i server Exchange violati sarebbero "oltre 30mila solo negli USA, e centinaia di migliaia in tutto il mondo".

La buona notizia è che lo script per verificare la compromissione dei server funziona. Il provider MDR Huntress ha già individuato più di 200 server Exchange compromessi, ossia che avevano il payload all'interno della directory C:inetpubwwwrootaspnet_clientsystem_web. Afferma inoltre di avere identificato più di 350 Web shell.Sempre Huntress rivela che un'analisi di circa 2.000 server Exchange ha rivelato che circa 400 di loro erano vulnerabili, e altri 100 erano potenzialmente vulnerabili.