![\"Banner](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/MSP-securiity-alert-banner.png\")
<\/p>\n<\/p>\n
Aggiornato al 16 marzo 2021.\u00a0<\/strong><\/p>\n Marted\u00ec 2 marzo, Microsoft ha annunciato<\/a> di aver individuato una serie di quattro exploit 0-day utilizzati attivamente per attaccare versioni di Exchange Server in sede<\/strong>. Le patch sono disponibili<\/a> e si consiglia alle organizzazioni di identificare, aggiornare e verificare i sistemi vulnerabili il pi\u00f9 rapidamente possibile.<\/p>\n Abbiamo creato questo post per raccogliere risorse e informazioni correlate e lo aggiorneremo regolarmente.<\/p>\n <\/p>\n I seguenti sono ottimi riassunti e thread da seguire per aggiornarsi:<\/p>\n <\/p>\n Huntress Un thread di risposta rapida da parte di Huntress<\/a> orientato specificamente agli MSP, che include informazioni sulle minacce e risultati dell’esame della loro base di partner. Huntress si aggiorna attivamente non appena sono disponibili nuove informazioni.<\/p>\n Huntress ha anche organizzato un webinar il 4 marzo alle 13:00 ET e ha fornito una sintesi della ricerca e delle osservazioni fatte finora. Guardalo su richiesta qui.<\/a><\/p>\n Volexity Uno dei primi a identificare (il 6 gennaio!) e a segnalare questa attivit\u00e0. Questo post fornisce maggiori dettagli sul modo in cui le vulnerabilit\u00e0 vengono effettivamente sfruttate, nonch\u00e9 un breve elenco di tattiche, tecniche e procedure (TTP) osservate dopo lo sfruttamento. Fornisce inoltre ulteriori IoC.<\/p>\n FireEye Conferma anche l’osservazione dell’abuso di gennaio e contiene un’altra ottima analisi tecnica degli attacchi. Contiene ulteriori suggerimenti per indagare su potenziali compromissioni (vedi sotto).<\/p>\n Red Canary Fornisce una ripartizione delle attivit\u00e0 di minaccia post-sfruttamento che Red Canary ha identificato, insieme a opportunit\u00e0 pratiche di rilevamento e consigli di rimedio.<\/p>\n CrowdStrike Se riuscite a superare il titolo e l’aspetto commerciale, questo post fornisce ulteriori dettagli tecnici, IoC e un utile riepilogo sulla scoperta e la caccia alle minacce.<\/p>\n <\/p>\n Microsoft ha identificato quattro vulnerabilit\u00e0 che vengono sfruttate attivamente, ma l’aggiornamento di sicurezza out-of-band dell’azienda affronta anche tre ulteriori vulnerabilit\u00e0 di esecuzione di codice remoto (remote code execution o RCE) che non sono state associate agli attacchi attivi.<\/p>\n Accesso iniziale<\/strong><\/span><\/p>\n CVSSv3: 9.1<\/strong><\/p>\n Una vulnerabilit\u00e0 SSRF (server-side request forgery) in Exchange che consente agli aggressori remoti di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.<\/p>\n Secondo la societ\u00e0 di sicurezza Volexity:<\/a><\/p>\n Questa vulnerabilit\u00e0 \u00e8 sfruttabile da remoto e non richiede alcun tipo di autenticazione n\u00e9 conoscenze particolari o accesso all’ambiente di destinazione. L’utente malintenzionato deve solo conoscere il server che esegue Exchange e l’account da cui vuole estrarre la posta elettronica.<\/em><\/p>\n Se riesce a sfruttare questa vulnerabilit\u00e0, un utente malintenzionato ha la possibilit\u00e0 di sfruttare le tre vulnerabilit\u00e0 aggiuntive riportate di seguito.<\/p>\n Esecuzione di codice remoto post-autenticazione (RCE)<\/strong><\/span><\/p>\n CVSSv3: 7.8<\/strong><\/p>\n Secondo Tenable<\/a>, il difetto risiede nel\u00a0Exchange Unified Messaging Service<\/a>, che abilita la funzionalit\u00e0 di posta vocale oltre ad altre caratteristiche. Permette di eseguire codice come SISTEMA sul server Exchange, ma richiede l’autorizzazione dell’amministratore o un’altra vulnerabilit\u00e0 da sfruttare.<\/p>\n CVSSv3: 7.8<\/strong><\/p>\n Se gli aggressori sono in grado di autenticarsi con il server Exchange (sfruttando la CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo), possono utilizzare questa vulnerabilit\u00e0 per scrivere un file in qualsiasi percorso del server.<\/p>\n CVSSv3: 7.8<\/strong><\/p>\n Idem.<\/p>\n <\/p>\n Note sull’attivit\u00e0 post-sfruttamento<\/span><\/strong><\/p>\n Come hanno riportato FireEye<\/a>, Volexity<\/a> e altri, gli aggressori hanno abusato di queste vulnerabilit\u00e0 per rilasciare web shell, tra cui varianti di China Chopper<\/a>. Questi danno agli aggressori la possibilit\u00e0 di preparare la scena ed eseguire una serie di attivit\u00e0 di post-exploitation.<\/p>\n I TTP osservati includono:<\/p>\n Per maggiori informazioni sull’attivit\u00e0 di minaccia post-sfruttamento, vedere la ricerca di Red Canary<\/a>.<\/p>\n <\/p>\n “Bonus” vulnerabilit\u00e0 non correlate<\/strong><\/span><\/p>\n Oltre a queste vulnerabilit\u00e0 zero-day, Microsoft ha anche patchato le seguenti falle RCE non correlate:<\/p>\n <\/p>\n Come ha detto sinteticamente Huntress durante il webinar<\/a>, tutte quante.<\/strong><\/p>\n Nota:<\/strong> Microsoft ha confermato che Exchange Online NON \u00e8 interessato.<\/a><\/p>\n Nonostante Microsoft abbia inizialmente descritto gli attacchi come “limitati e mirati”, i risultati successivi di altri fornitori e ricercatori indicano che l’attivit\u00e0 \u00e8 stata molto pi\u00f9 diffusa e indiscriminata.<\/p>\n Aggiornamento: Si stima che almeno 30.000 organizzazioni statunitensi siano state compromesse<\/strong><\/p>\n Venerd\u00ec 5 marzo Brian Krebs ha riferito che diverse fonti hanno stimato che centinaia di migliaia di organizzazioni sono state compromesse in tutto il mondo<\/a>, con 30.000 solo negli Stati Uniti.<\/p>\n Andy Greenberg, giornalista di Wired, ha poi confermato:<\/p>\n Confermo la notizia di @briankrebs<\/a> che il gruppo cinese Hafnium ha sfruttato gli zero-day di Microsoft Exchange per violare decine di migliaia di reti. Un ricercatore parla di 30.000 server solo negli Stati Uniti, centinaia di migliaia a livello globale. “La Cina ha appena conquistato il mondo”. https:\/\/t.co\/C1FkmBVLNI<\/a><\/p>\n – Andy Greenberg (@a_greenberg) 6 marzo 2021<\/a><\/p><\/blockquote>\nContenuti<\/h2>\n
\n
Panoramiche<\/h2>\n
\n
\n
Informazioni sulle minacce da parte delle aziende di sicurezza<\/h2>\n
\n<\/strong>Sfruttamento di massa dei server Exchange in loco (thread su r\/msp)<\/a><\/p>\n
\n<\/strong>Operation Exchange Marauder: Sfruttamento attivo di molteplici vulnerabilit\u00e0 Zero-Day di Microsoft Exchange<\/a><\/p>\n
\n<\/strong>Rilevamento e risposta allo sfruttamento delle vulnerabilit\u00e0 Zero-Day di Microsoft Exchange<\/a><\/p>\n
\n<\/strong>Sfruttamento del server Microsoft Exchange: Come individuare, ridurre le\u00a0vulnerabilit\u00e0 e mantenere la calma<\/a><\/p>\n
\n<\/strong>Falcon Complete blocca gli exploit Zero-Day di Microsoft Exchange Server<\/a><\/p>\nQuali sono le vulnerabilit\u00e0?<\/h2>\n
CVE-2021-26855\u00a0<\/a><\/h4>\n
CVE-2021-26857<\/a><\/h3>\n
CVE-2021-26858<\/a><\/h3>\n
CVE-2021-27065<\/a><\/h3>\n
\n
\n
Quali versioni di Exchange sono interessate?<\/h2>\n
![\"quali](\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2023\/10\/what-versions-of-exchange-are-vulnerable.png\")
<\/p>\n\n
Quanto sono diffusi gli attacchi?<\/h2>\n
\n