Zero-day in Microsoft Exchange: scoperte e corrette quattro vulnerabilità
L’azienda informatica fondata da Bill Gates ha scoperto che un gruppo di hacker, sponsorizzato dallo stato cinese e noto come Hafnium, ha utilizzato quattro diverse vulnerabilità attivandole in concatenazione per ottenere l’accesso ad alcuni server di Microsoft Exchange. Il bersaglio principale del gruppo sono alcune organizzazione statunitensi a cui sarebbero stati rubati dei dati. Gli attacchi riconosciuti per ora sono limitati, ma se le aziende non interverranno immediatamente, potrebbero aumentare.
“Storicamente, Hafnium prende di mira principalmente entità negli Stati Uniti allo scopo di recuperare informazioni da un certo numero di settori industriali, compresi i ricercatori delle malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, think tank politici e ONG“, ha scritto Microsoft sul suo blog. “Nonostante Hafnium sia basato in Cina, conduce le sue operazioni principalmente da server privati virtuali affittati (VPS) negli Stati Uniti“.
Microsoft Exchange: le vulnerabilità zero-day
L’azienda con sede a Redmond ha prontamente rilasciato degli aggiornamenti di Microsoft Exchange volti a combattere queste vulnerabilità zero-day. Per vulnerabilità zero-day (o 0-day) si intendono quelle vulnerabilità di sicurezza informatica non note allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico, in questo caso Microsoft, ma che una volta risolto mediante aggiornamenti perde d’importanza poiché non può più essere usata contro i sistemi stessi.
L’attacco, come detto in precedenza, sfrutta in maniera concatenata le quattro vulnerabilità individuate e permette di rubare la posta elettronica ed installare ulteriori malware che consento l’accesso ad ulteriori dati. Il gruppo di hacker sarebbe infatti interessato a rubare dati sensibili da diverse realtà statunitensi.
Il funzionamento dell’attacco
Come riporta BleepingComputer, affinché l’attacco funzioni, gli aggressori remoti dovrebbero accedere a un server Microsoft Exchange in sede sulla porta 443. Se l’accesso è disponibile, utilizzeranno le seguenti vulnerabilità per ottenere l’accesso remoto:
- CVE-2021-26855 è una vulnerabilità SSRF (server-side request forgery) in Exchange che ha consentito all’autore dell’attacco di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.
- CVE-2021-26857 è una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. La deserializzazione non sicura è il punto in cui i dati non attendibili controllabili dall’utente vengono deserializzati da un programma. Lo sfruttamento di questa vulnerabilità ha dato ad Hafnium la capacità di eseguire il codice come SYSTEM sul server Exchange. Ciò richiede l’autorizzazione dell’amministratore o un’altra vulnerabilità da sfruttare.
- CVE-2021-26858 è una vulnerabilità di scrittura arbitraria di file post-autenticazione in Exchange. Se Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.
- CVE-2021-27065 è una vulnerabilità di scrittura arbitraria di file post-autenticazione in Exchange. Se Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.
“Anche se abbiamo lavorato rapidamente per distribuire un aggiornamento contro gli exploit di Hafnium, sappiamo che gruppi criminali si muoveranno rapidamente per trarre vantaggio da eventuali sistemi privi di patch“ ha dichiarato Tom Burt, Corporate Vice President of Customer Security & Trust. “L’applicazione tempestiva delle patch rilasciate nella giornata è la migliore protezione contro questo attacco.”
A causa della potenziale gravità degli attacchi, la software house raccomanda agli amministratori di installare immediatamente questi upgrade in modo da proteggere i server Exchange.