Connect with us

Hi, what are you looking for?

Tra me & Tech
Exchange evid

innovazione

Attacco a Microsoft Exchange: come sapere se si è stati colpiti e come comportarsi

Circa 63.000 server esposti sono ancora vulnerabili a questi exploit: le campagne di cyberspionaggio hanno raggiunto raramente le dimensioni dell’attuale situazione di Microsoft Exchange Server. Secondo Microsoft, sono 4 le vulnerabilità sfruttate da un gruppo hacker legato alla Cina.

Exchange 1

L’attacco a Microsoft Exchange

Sono 30.000 le organizzazioni che potrebbero essere già state colpite negli Stati Uniti. Ma il numero a livello globale potrebbe essere molto più grande. L’ultimo controllo di Shodan da parte di Trend Micro ha rivelato che sono circa 63.000 i server esposti vulnerabili a questi exploit.

L’applicazione immediata delle patch disponibili deve essere una priorità assoluta, oppure, ove non fosse possibile, è necessario disconnettere tutti i server vulnerabili che potrebbero essere in esecuzione. Al momento, chiunque abbia un server Microsoft Exchange deve investigare per verificare se ci sono segni di compromissione.

Che cosa è successo?

I primi attacchi risalgono al 6 gennaio scorso, quando un nuovo gruppo di minacce, etichettato da Microsoft con il nome di “Hafnium”, ha cominciato a sfruttare 4 bug zero-day all’interno di Microsoft Exchange Server. Le minacce utilizzavano dei virtual private server (VPS) negli Stati Uniti per nascondere la reale ubicazione. Microsoft ha fornito delle patch di emergenza la scorsa settimana. Le vulnerabilità possono essere sfruttate per eseguire codici, scrivere file, rubare dati e ulteriori azioni dannose. Come ad esempio la distribuzione di ransomware all’interno delle organizzazioni vittime.

In tutto il mondo c’è molta preoccupazione per la vasta portata di questa campagna cybercriminale e sono molte le istituzioni in allerta, come la Casa Bianca e la Cybersecurity and Infrastructure Security Agency (CISA).

Come sapere se si è stati colpiti?

Microsoft ha inizialmente affermato che Hafnium ha preso di mira organizzazioni in settori come quello della ricerca sulle malattie infettive, dell’istruzione, della difesa, legal e NGO. Esiste però l’ipotesi che l’ondata di attacco più recente possa essere opera di un altro gruppo cyber criminale e si possa abbattere su settori con meno risorse per la cybersecurity. Come le PMI o le organizzazioni governative locali.

Chi utilizza Microsoft Exchange Server può seguire i seguenti passi per scoprire se è stato colpito dall’attacco:

  • Scansionare i log di Exchange Server con lo strumento di rilevamento Microsoftper verificare la compromissione.
  • Effettuare una ricerca manuale con Trend Micro Vision One per verificare gli indicatori di compromissione conosciuti che sono associati a questa campagna.
  • Consultare la pagina dedicatacon tutte le informazioni sulle protezioni Trend Micro specifiche per questa campagna cyber criminale.

Come comportarsi in seguito all’analisi?

Se le scansioni non hanno rilevato alcuna compromissione è importante applicare le patch rilasciate da Microsoft il più in fretta possibile.

Se il sistema ha subito un attacco, bisogna attivare un piano di incident response. Di seguito i consigli Trend Micro:

Advertisement. Scroll to continue reading.
  • Nel caso non si disponga di un team di security interno, contattare immediatamente il vendor o il provider per un supporto.
  • Se si dispone di un team per la risposta agli incidenti, seguire i loro consigli.
  • Non utilizzare nessuna macchina senza aver prima effettuato una scansione forense per accertare gli indicatori di compromissione.
  • Contattare il team legal per le eventuali procedure di notifica violazione.

Ulteriori informazioni su protezioni specifiche per questa campagna cyber criminale sono disponibili a questo link

Avatar
Scritto da

Potrebbe interessarti

Advertisement

Newsletter


Advertisement

Ultime news

Italpress

VERONA (ITALPRESS) – Nuovo Skoda Enyaq iV, il primo Suv 100% elettrico della casa Ceca, con il 94% dei punti massimi raggiungibili per la...

Italpress

TORINO (ITALPRESS) – Suzuki propone Swace Hybrid e Across Plug-in una nuova iniziativa promozionale, che prevede la possibilità di estendere la garanzia ufficiale sui...

innovazione

NeN ha presentato “Robo”, il dispositivo IOT che permette di controllare i consumi degli elettrodomestici in tempo reale dal proprio smartphone. E che aiuta...

Green Tech

Il nuovo sistema di classificazione della classe energetica premia l’eccellenza dei prodotti Haier, a partire dalla lavasciuga Super Drum Series 9 appena lanciata sul...

gaming

ASUS annuncia l’arrivo in Italia di ROG Keris, mouse ultraleggero pensato appunto per la linea Republic of Gamers. Si tratta di un dispositivo per...

News

In attesa dell’evento Apple che martedì 20 vedrà molto probabilmente arrivare dei nuovi iPad, ecco che dalla Rete spuntano i primi rumors su iPhone...