Microsoft Exchange
SICUREZZA INFORMATICA

I Server di Microsoft Exchange sono sotto attacco

Di Pierguido Iezzi

Diversi gruppi di Criminal Hacker sponsorizzati da stati stanno sfruttando una vulnerabilità di recente patchata nei server di posta elettronica di Microsoft Exchange.

I tentativi di sfruttamento sono stati individuati per la prima volta venerdì 6 marzo e recentemente confermati anche dal Dipartimento di Difesa americano.

Ancora non sono stati nominati i principali sospettati, ma una cosa è certa, si tratta di un attacco molto raffinato.

La vulnerabilità

I Criminal Hacker stanno sfruttando una vulnerabilità nei server di posta elettronica di Microsoft Exchange che Microsoft ha risolto il mese scorso, nel Patch Tuesday di febbraio 2020.

La vulnerabilità è stata rintracciata sotto l’identificatore di CVE-2020-0688.

Nel dettaglio:

  • Durante l’installazione, i server Microsoft Exchange non riescono a creare una chiave crittografica unica per il pannello di controllo Exchange.
  • Ciò significa che tutti i server di posta elettronica Microsoft Exchange rilasciati negli ultimi 10 e più anni utilizzano chiavi crittografiche identiche (validationKey e decryptionKey) per il backend del loro pannello di controllo.
  • Gli aggressori possono inviare richieste malformate al pannello di controllo di Exchange contenenti dati serializzati dannosi.
  • Poiché i Criminal Hacker conoscono le chiavi di crittografia del pannello di controllo, possono garantire che i dati serializzati non siano serializzati, il che comporta l’esecuzione di codice dannoso sul backend del server Exchange.
  • Il codice dannoso viene eseguito con privilegi di sistema, dando agli aggressori il pieno controllo del server.

Microsoft ha rilasciato delle patch per questo bug l’11 febbraio, quando ha anche avvertito i vari amministratori di sistema di installare le correzioni il prima possibile, anticipando gli attacchi futuri.

Un attacco a scoppio ritardato

Dopo la prima rilevazione della criticità non è successo niente per quasi due settimane. Le cose sono degenerate verso la fine del mese, però, quando la Zero-Day Initiative, che ha segnalato il bug a Microsoft, ha pubblicato un rapporto tecnico che descriveva in dettaglio il bug e il suo funzionamento.

Il rapporto è servito come traccia per un gruppo di ricercatori che hanno usato le informazioni contenute all’interno per realizzare degli exploit di proof-of-concept in modo da poter testare i propri server e creare delle regole di rilevamento e preparare le adeguate misure di remediation.

Almeno tre di questi proof-of-concepts, però, hanno trovato la loro strada su GitHub. Da questo è nato in fretta una Metasploit.

Proprio come in molti altri casi precedenti, una volta che i dettagli tecnici e il codice di proof-of-concept sono diventati pubblici, anche i Criminal Hacker hanno iniziato a prestare attenzione.

È Bastato un attimo, il 26 febbraio, un giorno dopo l’entrata in vigore del rapporto della Zero-Day Initiative, gruppi di aggressori hanno iniziato a scansionare Internet alla ricerca di server Exchange, compilando liste di server vulnerabili che avrebbero potuto prendere di mira in un secondo momento.

L’attacco vero e proprio

Ora, le scansioni dei server Exchange si sono trasformate in attacchi reali.

I primi a rendere questo bug un’arma sono stati le APT (Advanced Persistent Threat).

Tuttavia, ci si aspetta che anche altri gruppi seguano il loro esempio. Prevedere che il bug diventerà molto popolare tra le bande dedite ad attacchi ransomware che prendono di mira regolarmente le reti aziendali, non è difficile.

Questa vulnerabilità di scambio non è tuttavia semplice da sfruttare.

Per sfruttare il bug di Exchange CVE-2020-0688, I Criminal Hacker hanno bisogno delle credenziali per un account di posta elettronica sul server Exchange.

La CVE-2020-0688 è un cosiddetto bug post-autenticazione. Gli aggressori devono prima effettuare il login e poi eseguire il payload dannoso che dirotta il server di posta elettronica della vittima.

Questo è più il reame di APT e gruppi dediti al ransomware che spesso passano la maggior parte del loro tempo a lanciare campagne di phishing, in seguito alle quali ottengono le credenziali di posta elettronica per i dipendenti di un’azienda.

Se un’organizzazione impone l’autenticazione a due fattori (2FA) per gli account di posta elettronica, tali credenziali sono essenzialmente inutili, in quanto diventa complicatissimo aggirare il 2FA.

C’è un’ulteriore complicazione però, Il bug CVE-2020-0688 permette alle APT di trovare finalmente uno scopo per i vecchi account protetti da 2FA che sono stati eliminati mesi o anni prima.

Possono usare una qualsiasi di queste vecchie credenziali come parte dell’exploit CVE-2020-0688 senza bisogno di bypassare 2FA, ma prendendo comunque il controllo del server Exchange della vittima.

Il consiglio per arginare la minaccia è ovviamente di applicare gli aggiornamenti di sicurezza di febbraio 2020 il prima possibile.

Tutti i server Microsoft Exchange sono considerati vulnerabili, anche le versioni andate a fine vita (End of Life). Per le versioni EoL, le organizzazioni dovrebbero valutare l’opportunità di aggiornare a una versione Exchange più recente. Se l’aggiornamento del server Exchange non è un’opzione, si consiglia alle aziende di forzare un reset della password per tutti gli account Exchange.

L’acquisizione dei server di posta elettronica è il Santo Graal degli attacchi APT, in quanto consente ai gruppi di intercettare e leggere le comunicazioni e-mail di un’azienda.

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963