Un gruppo di hacker cinesi ha attaccato Microsoft Exchange, sfruttando alcune vulnerabilità che sono ora state risolte. Coinvolte migliaia di aziende, soprattutto statunitensi
Microsoft Exchange, il software per la collaborazione aziendale tramite la rete, è finito nel mirino di un gruppo di hacker cinesi. I cybercriminali – fino a circa una settimana fa – hanno attivamente sfruttato delle vulnerabilità 0-day per violare, attaccare e sottrarre il contenuto degli account di posta elettronica aziendale. Negli Stati Uniti – come riportato dal sito Krebs on Security, specializzato nei crimini informatici – sarebbero circa 20.000 le aziende vittime di questo attacco informatico. Il gruppo di hacker, che Microsoft ha denominato “Hafnium”, stava violando i server sin da gennaio, rubando continuamente e silenziosamente informazioni di ogni genere.
Come immaginabile, gli attacchi hacker hanno aperto la strada all’installazione di malware per facilitare ancora di più l’accesso a lungo termine agli “ambienti” compromessi. Secondo Cybersecurity360, dalle analisi delle TTPs (tattiche, tecniche e procedure) del gruppo si deducono capacità di attacco sofisticate e altamente qualificate.
Cos’è un vulnerabilità 0-day?
Una vulnerabilità 0-day è una qualsiasi vulnerabilità di sicurezza informatica non espressamente nota allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico. Vengono chiamate 0-day in quanto sono passati “zero giorni” da quando la vulnerabilità è nota allo sviluppatore e di conseguenza egli ha “zero giorni” per riparare la falla nel programma. Nel momento in cui il bug viene risolto, lo 0-day perde parte della sua originale importanza dato che non può più essere utilizzato contro i sistemi aggiornati ad una versione in cui appunto la vulnerabilità è stata risolta.
Le vulnerabilità di Microsoft Exchange sfruttate dagli hacker
Dalle analisi condotte dagli specialisti Microsoft, sono risultate esposte ad attacco le versioni on-premise di Exchange 2013, 2016 e 2019. Microsoft specifica come tutte le vulnerabilità siano state risolte con un blocco di aggiornamenti rilasciato il 2 marzo per la versione on-premise. In effetti, la versione di Exchange Online non è risultata vulnerabile.
L’azienda fondata da Bill Gates ha segnalato le seguenti vulnerabilità:
- CVE-2021-26855: vulnerabilità di tipo Server-Side Request Forgery (SSRF) che permetterebbe a un attaccante di autenticarsi sul server Exchange;
- CVE-2021-26857: vulnerabilità che potrebbe permettere, sotto talune condizioni, agli attaccanti di eseguire codice arbitrario con diritti dell’utente System sul server Exchange.
- CVE-2021-26858 e CVE-2021-27065: dopo l’autenticazione, queste due vulnerabilità permetterebbero la scrittura arbitraria di file su un server Exchange il cui servizio Web sia esposto online. Un attaccante che si è autenticato sul server (ad esempio sfruttando la vulnerabilità CVE-2021-26855 o compromettendo delle legittime credenziali di amministratore) potrebbe utilizzare queste falle per scrivere un file in un qualunque percorso del sistema.
La portavoce della Casa Bianca, Jen Pskai, riguardo questi fatti ha dichiarato: “È una vulnerabilità significativa […]. Siamo preoccupati per il grande numero di vittime e stiamo lavorando con i nostri partner per capirne l’entità (dell’attacco informatico, n.d.r.). Stiamo ancora valutando attentamente quello che è successo e le decisioni da prendere”.
Leggi anche:
- Corea del Nord, hacker cercano di rubare informazioni sul vaccino a Pfizer
- Facebook, su forum di hacker in vendita i dati di 36 milioni di utenti italiani
Il gruppo hacker Hafnium
Secondo il Microsoft Threat Intelligence Center (MTIC), il gruppo Hafnium è formato da hacker cinesi sostenuti direttamente dallo stato. Tuttavia, esegue le proprie operazioni fuori dal suolo cinese, utilizzando principalmente Server Privati Virtuali (VPS) in affitto negli Stati Uniti. E sempre sul territorio americano risiedono la maggioranza delle vittime da cui il gruppo tenta di sottrarre informazioni.
