Connect with us

Hi, what are you looking for?

Tra me & Tech
Exchange evid

innovazione

Attacco a Microsoft Exchange: come sapere se si è stati colpiti e come comportarsi

Circa 63.000 server esposti sono ancora vulnerabili a questi exploit: le campagne di cyberspionaggio hanno raggiunto raramente le dimensioni dell’attuale situazione di Microsoft Exchange Server. Secondo Microsoft, sono 4 le vulnerabilità sfruttate da un gruppo hacker legato alla Cina.

Exchange 1

L’attacco a Microsoft Exchange

Sono 30.000 le organizzazioni che potrebbero essere già state colpite negli Stati Uniti. Ma il numero a livello globale potrebbe essere molto più grande. L’ultimo controllo di Shodan da parte di Trend Micro ha rivelato che sono circa 63.000 i server esposti vulnerabili a questi exploit.

L’applicazione immediata delle patch disponibili deve essere una priorità assoluta, oppure, ove non fosse possibile, è necessario disconnettere tutti i server vulnerabili che potrebbero essere in esecuzione. Al momento, chiunque abbia un server Microsoft Exchange deve investigare per verificare se ci sono segni di compromissione.

Che cosa è successo?

I primi attacchi risalgono al 6 gennaio scorso, quando un nuovo gruppo di minacce, etichettato da Microsoft con il nome di “Hafnium”, ha cominciato a sfruttare 4 bug zero-day all’interno di Microsoft Exchange Server. Le minacce utilizzavano dei virtual private server (VPS) negli Stati Uniti per nascondere la reale ubicazione. Microsoft ha fornito delle patch di emergenza la scorsa settimana. Le vulnerabilità possono essere sfruttate per eseguire codici, scrivere file, rubare dati e ulteriori azioni dannose. Come ad esempio la distribuzione di ransomware all’interno delle organizzazioni vittime.

In tutto il mondo c’è molta preoccupazione per la vasta portata di questa campagna cybercriminale e sono molte le istituzioni in allerta, come la Casa Bianca e la Cybersecurity and Infrastructure Security Agency (CISA).

Come sapere se si è stati colpiti?

Microsoft ha inizialmente affermato che Hafnium ha preso di mira organizzazioni in settori come quello della ricerca sulle malattie infettive, dell’istruzione, della difesa, legal e NGO. Esiste però l’ipotesi che l’ondata di attacco più recente possa essere opera di un altro gruppo cyber criminale e si possa abbattere su settori con meno risorse per la cybersecurity. Come le PMI o le organizzazioni governative locali.

Chi utilizza Microsoft Exchange Server può seguire i seguenti passi per scoprire se è stato colpito dall’attacco:

  • Scansionare i log di Exchange Server con lo strumento di rilevamento Microsoftper verificare la compromissione.
  • Effettuare una ricerca manuale con Trend Micro Vision One per verificare gli indicatori di compromissione conosciuti che sono associati a questa campagna.
  • Consultare la pagina dedicatacon tutte le informazioni sulle protezioni Trend Micro specifiche per questa campagna cyber criminale.

Come comportarsi in seguito all’analisi?

Se le scansioni non hanno rilevato alcuna compromissione è importante applicare le patch rilasciate da Microsoft il più in fretta possibile.

Se il sistema ha subito un attacco, bisogna attivare un piano di incident response. Di seguito i consigli Trend Micro:

Advertisement. Scroll to continue reading.
  • Nel caso non si disponga di un team di security interno, contattare immediatamente il vendor o il provider per un supporto.
  • Se si dispone di un team per la risposta agli incidenti, seguire i loro consigli.
  • Non utilizzare nessuna macchina senza aver prima effettuato una scansione forense per accertare gli indicatori di compromissione.
  • Contattare il team legal per le eventuali procedure di notifica violazione.

Ulteriori informazioni su protezioni specifiche per questa campagna cyber criminale sono disponibili a questo link

Avatar
Scritto da

Potrebbe interessarti

Advertisement

Newsletter


Advertisement

Ultime news

Italpress

Saranno i Monti Simbruini e l’area appenninica che si trova al confine tra il Lazio e l’Abruzzo a fare da cornice all’annuale Raduno Suzuki...

News

realme lancia l’innovazione della ricarica magnetica wireless per Android. Si chiama MagDart, con un caricabatterie wireless magnetico a 50W più rapido al mondo. A...

innovazione

Windows 365 è ufficialmente partito. Da oggi infatti è attivo il servizio che offre alle aziende di tutte le dimensioni un nuovo modo di...

Motor Tech

“Fit for 55” è il piano dalla Commissione Europea che prevede lo stop della vendita di auto a benzina e diesel entro il 2035....

Italpress

MILANO (ITALPRESS) – Un’efficienza energetica all’avanguardia, un risparmio economico considerevole e l’iconico piacere di guidare si combinano nei nuovi modelli ibridi plug-in entry-level della...

Fuori di Tech

Siamo ancora qui in ballo, per capire come sarà il dopo pandemia. Anche perché il Covid-19 ci ha fatto virare sempre di più verso...