Server Exchange ancora nel mirino
Un gran numero di server Exchange non protetti viene ancora colpito da attacchi ProxyShell
Continuano gli attacchi ProxyShell verso i server Microsoft Exchange che non hanno risolto le vulnerabilità segnalate nei mesi scorsi. Lo CSIRT sottolinea che è stato rilevato un gruppo ransomware, noto come LockFile, il quale a seguito di scansioni mirate all’individuazione delle vulnerabilità in sistemi esposti, le utilizzerebbe per compromettere server Microsoft Exchange locali.
Successivamente, tramite un attacco NTLM Relay chiamato PetitPotam, l'attaccante potrebbe prendere il controllo del controller di dominio e quindi eseguire comandi per distribuire ransomware attraverso la rete.
Come è stato segnalato più volte, ProxyShell consiste nello sfruttamento concatenato di tre vulnerabilità di Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 - risolte tra aprile e maggio 2021) che potrebbe consentire a un utente non autenticato di eseguire codice da remoto. La soluzione del problema è ovviamente applicare le patch che sono state già distribuite, "blindando" così i server Exchange vulnerabili. Per l'attacco NTLM Relay nello specifico, Microsoft ha pubblicato un documento mirato.
Gli attacchi portati avanti tempo sfruttando Microsoft Exchange come canale sono stati catalogati come una attività di attacco e spionaggio sponsorizzata dal Governo cinese, allo scopo di mettere piede nelle reti di migliaia di organizzazioni. E, potenzialmente, esfiltrarne dati.
Successivamente, tramite un attacco NTLM Relay chiamato PetitPotam, l'attaccante potrebbe prendere il controllo del controller di dominio e quindi eseguire comandi per distribuire ransomware attraverso la rete.
Come è stato segnalato più volte, ProxyShell consiste nello sfruttamento concatenato di tre vulnerabilità di Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 - risolte tra aprile e maggio 2021) che potrebbe consentire a un utente non autenticato di eseguire codice da remoto. La soluzione del problema è ovviamente applicare le patch che sono state già distribuite, "blindando" così i server Exchange vulnerabili. Per l'attacco NTLM Relay nello specifico, Microsoft ha pubblicato un documento mirato.
Gli attacchi portati avanti tempo sfruttando Microsoft Exchange come canale sono stati catalogati come una attività di attacco e spionaggio sponsorizzata dal Governo cinese, allo scopo di mettere piede nelle reti di migliaia di organizzazioni. E, potenzialmente, esfiltrarne dati.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Webinar
Calendario Tutto
Ott 06
VEMlive 2023 | IMPACT - Catalizzatori digitali di efficienza, evoluzione e crescita
Ott 12
Microsoft Teams Voice: the right answer for everyone
Ott 17
IDC Future of Data Forum 2023
Ott 18
SMB Roadshow Exclusive On the Road - Torino
Ott 24
SMB Roadshow Exclusive On the Road - Padova
Ott 26
SAP NOW 2023
Nov 07
SMB Roadshow Exclusive On the Road - Roma
Nov 14
Red Hat Summit: Connect 2023 - Milano
Nov 22
Red Hat Summit: Connect 2023 - Roma
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
