Microsoft lancia l’allarme ed esorta i propri clienti a installare le patch di emergenza il prima possibile per proteggersi da hacker altamente qualificati che stanno sfruttando attivamente quattro vulnerabilità zero-day in Microsoft Exchange Server.
Il produttore di software ha affermato che gli hacker che lavorano per conto del governo cinese hanno utilizzato gli exploit precedentemente sconosciuti per hackerare il software Exchange Server locale. Hafnium, come Microsoft chiama questo gruppo di hacker, è l’unico, per il momento che ha sfruttato le vulnerabilità, ma la società ha detto che questo scenario potrebbe cambiare.
“Anche se abbiamo lavorato rapidamente per distribuire un aggiornamento contro gli exploit di Hafnium, sappiamo che gruppi criminali si muoveranno rapidamente per trarre vantaggio da eventuali sistemi privi di patch,” ha dichiarato Tom Burt, Corporate Vice President of Customer Security & Trust, in un post pubblicato ieri pomeriggio. “L’applicazione tempestiva delle patch rilasciate nella giornata è la migliore protezione contro questo attacco.”
Burt non ha identcato quali siano gli obiettivi del gruppo di hacker, ma ha solo rivelato che sono aziende che utilizzano il software Exchange Server in locale. Il manager ha inoltre dichiarato che Hafnium opera dalla Cina, principalmente allo scopo di rubare dati da ricercatori di malattie infettive con sede negli Stati Uniti, studi legali, istituti di istruzione superiore, appaltatori della difesa, gruppi politici e organizzazioni non governative.
Microsoft Exchange, ecco le 4 vulnerabilità zero-day che richiedono le patch
Le quattro vulnerabilità scoperte che devono essere “patchate” il prima possibile sono:
- CVE-2021-26855, una vulnerabilità SSRF (server-side request forgery) che ha consentito agli aggressori di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.
- CVE-2021-26857, una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. Questo si verifica quando i dati non attendibili controllabili dall’utente vengono deserializzati da un programma. Lo sfruttamento di questa vulnerabilità ha consentito ad Hafnium di eseguire codice come SYSTEM sul server Exchange. Questo richiede l’autorizzazione dell’amministratore o un’altra vulnerabilità da sfruttare.
- CVE-2021-26858, una vulnerabilità di scrittura arbitraria di file post-autenticazione. Se Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Il gruppo potrebbe autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.
- CVE-2021-27065, una vulnerabilità di scrittura arbitraria di file post-autenticazione. Se il gruppo di hacker Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbe autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.
L’attacco, ha dichiarato Burt, includeva tre passaggi. Per prima cosa gli hacker ottenevano l’accesso a un server Exchange con password rubate o utilizzando un zero-day per mascherarsi da personale che dovrebbe avere accesso. In secondo luogo creavano una shell web per controllare da remoto il server compromesso e per finire usavano quell’accesso remoto per rubare i dati dalla rete di un obiettivo.
- IL PRODOTTO COMPRENDE LA LICENZA WINDOWS 10 PRO NUOVA SENZA SCADENZA.
- Per verificare l'autenticità del prodotto MAR (Certificato Microsoft per il ricondizionato) il prodotto presenta l’adesivo della licenza Windows 10 Nuova, da grattare per visualizzare il codice Product Key, questo garantisce la conformità di questo prodotto “MAR Microsoft Authorized Refurbisher”.
- Questo PC richiede l'attivazione del sistema operativo da parte dell'utente, questa operazione, ne garantisce la Certificazione MAR e viene pertanto richiesta accettazione, durante la prima accensione, dei termini di utilizzo Microsoft. Win 7 aggiornato a Win 10 già installato non è conforme, ha un costo inferiore e non garantisce la sicurezza professionale di un prodotto MAR.
- Inclusi Software di backup e recovery "Acronis true image" con licenza inclusa per sempre senza pagamenti aggiuntivi, Antivirus mcafee full incluso gratuito per 1 anno, Tastiera e Mouse inclusi in Regalo
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔮 Il futuro dell’innovazione tecnologica, ecco come l’AI può esserci d’aiuto
🕸️ La rivoluzione nell’automazione delle reti aziendali
🇪🇺 L’Unione Europea e il confine tra algoritmo e intelligenza artificiale
🏭 Google lancia IA per il Made in Italy per supportare le PMI italiane
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
