Nuove vulnerabilità di Microsoft Exchange
Il 30 settembre Microsoft ha comunicato la presenza di due vulnerabilità nei server Microsoft Exchange, utilizzate per la messa in atto di attacchi malevoli. Queste falle sono state precedentemente sfruttate a partire dalla fine di agosto.
La prima società ad aver identificato e segnalato le falle è stata GTSC, società vietnamita che si occupa di sicurezza informatica. Le vulnerabilità nello specifico sono :
- CVE-2022-41040, una vulnerabilità di tipo Server-Side Request Forgery (SSRF)
- CVE-2022-41082, una vulnerabilità di tipo Remote Code Execution (RCE).
La concatenazione di queste due vulnerabilità permette di eseguire codice arbitrario su un server Exchange avendo a disposizione le credenziali di qualsiasi utente. Le richieste web di cui si compone questo attacco sono nello stesso formato di quelle relative alla famigerata vulnerabilità ProxyShell: da qui il nome ProxyNotShell.
Le somiglianze con la precedente 0-day ProxyShell ci sono: la request-string è infatti la stessa in entrambi i casi. La principale differenza è che, mentre ProxyShell non richiede autenticazione, per sfruttare ProxyNotShell sono necessarie credenziali, anche non amministrative. La Multi Factor Authentication non è in questo caso rilevante.
La stessa GTSC ha teorizzato che gli attacchi iniziati ad agosto potessero provenire da un gruppo di cyber criminali cinesi, a causa della codifica della web shell in cinese semplificato. Negli attacchi è stata utilizzata anche la shell web China Chopper, una backdoor che dà agli aggressori la possibilità di riconnettersi in qualsiasi momento a una macchina compromessa, in modo da sfruttarla anche in un secondo momento.
Queste vulnerabilità riguardano i server Exchange in loco e non quelli in hosting gestiti da Microsoft; tuttavia, molti utenti utilizzano soluzioni combinate, con hardware in sede e in cloud, e per questo gli ambienti ibridi sono tanto vulnerabili quanto i server dislocati in loco.
Stima dei server vulnerabili
Secondo le stime, i server vulnerabili arriverebbero a quasi 250mila.
Nella foto sottostante possiamo notare la suddivisione per regione:
Fonte: Shodan
Tra i 10 paesi più a rischio troviamo anche l’Italia con poco meno di 10.000 server.
Azioni di mitigazione
Microsoft, per aiutare a fermare temporaneamente l’attacco, ha condiviso delle azioni di mitigazione da mettere in pratica.
Fonte: Microsoft
A queste azioni di mitigazione, probabilmente, si susseguiranno aggiornamenti per le prossime settimane. Ad oggi, infatti, non è disponibile ancora nessuna patch.
Se dovessi rilevare una compromissione nel sistema e desiderassi il nostro supporto, puoi mandarci una mail a sos@cybergon.com con i dettagli della richiesta.