Attacco a Microsoft Exchange: come sapere se si è stati colpiti e come comportarsi

di Thomas De Vido

Le campagne di cyberspionaggio hanno raggiunto raramente le dimensioni dell’attuale situazione di Microsoft Exchange Server. Secondo Microsoft, sono 4 le vulnerabilità sfruttate da un gruppo hacker legato alla Cina.

Sono 30.000 le organizzazioni che potrebbero essere già state colpite negli Stati Uniti, ma il numero a livello globale potrebbe essere molto più grande. L’ultimo controllo di Shodan da parte di Trend Micro ha rivelato che sono circa 63.000 i server esposti vulnerabili a questi exploit.

L’applicazione immediata delle patch disponibili deve essere una priorità assoluta, oppure, ove non fosse possibile, è necessario disconnettere tutti i server vulnerabili che potrebbero essere in esecuzione. Al momento, chiunque abbia un server Microsoft Exchange deve investigare per verificare se ci sono segni di compromissione.

Che cosa è successo?

I primi attacchi risalgono al 6 gennaio scorso, quando un nuovo gruppo di minacce, etichettato da Microsoft con il nome di “Hafnium”, ha cominciato a sfruttare 4 bug zero-day all’interno di Microsoft Exchange Server. Le minacce utilizzavano dei virtual private server (VPS) negli Stati Uniti per nascondere la reale ubicazione. Microsoft ha fornito delle patch di emergenza la scorsa settimana. Le vulnerabilità possono essere sfruttate per eseguire codici, scrivere file, rubare dati e ulteriori azioni dannose come ad esempio la distribuzione di ransomware all’interno delle organizzazioni vittime.

In tutto il mondo c’è molta preoccupazione per la vasta portata di questa campagna cybercriminale e sono molte le istituzioni in allerta, come la Casa Bianca e la Cybersecurity and Infrastructure Security Agency (CISA).

Come sapere se si è stati colpiti?

Microsoft ha inizialmente affermato che Hafnium ha preso di mira organizzazioni in settori come quello della ricerca sulle malattie infettive, dell’istruzione, della difesa, legal e NGO. Esiste però l’ipotesi che l’ondata di attacco più recente possa essere opera di un altro gruppo cyber criminale e si possa abbattere su settori con meno risorse per la cybersecurity, come le PMI o le organizzazioni governative locali.

Chi utilizza Microsoft Exchange Server può seguire i seguenti passi per scoprire se è stato colpito dall’attacco:

  • Scansionare i log di Exchange Server con lo strumento di rilevamento Microsoft per verificare la compromissione
  • Effettuare una ricerca manuale con Trend Micro Vision One per verificare gli indicatori di compromissione conosciuti che sono associati a questa campagna
  • Consultare la pagina dedicata con tutte le informazioni sulle protezioni Trend Micro specifiche per questa campagna cyber criminale

Come comportarsi in seguito all’analisi?

Se le scansioni non hanno rilevato alcuna compromissione è importante applicare le patch rilasciate da Microsoft il più in fretta possibile.

Se il sistema è invece stato colpito, bisogna attivare un piano di incident response. Di seguito i consigli Trend Micro:

  • Nel caso non si disponga di un team di security interno, contattare immediatamente il vendor o il provider per un supporto
  • Se si dispone di un team per la risposta agli incidenti, seguire i loro consigli
  • Non utilizzare nessuna macchina senza che sia stata effettuata una scansione forense per accertare gli indicatori di compromissione
  • Contattare il team legal per le eventuali procedure di notifica violazione

Ulteriori informazioni su protezioni specifiche per questa campagna cyber criminale sono disponibili a questo link

Vuoi ricevere gli aggiornamenti delle news di TecnoGazzetta? Inserisci nome ed indirizzo E-Mail:


Acconsento al trattamento dei dati personali (Info Privacy)