Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Microsoft Exchange, 200.000 server a rischio hackeraggio | Nuove mitigazioni

05 Ottobre 2022 30

A quanto pare i server Exchange di Microsoft dislocati in tutto il globo non stanno vivendo uno dei momenti migliori, da diversi giorni sarebbe infatti in corso un attacco hacker di grossa portata. L'obiettivo sarebbe quello di diffondere una backdoor crittografata controllata a distanza sfruttando due nuove vulnerabilità. L'azienda è nuovamente sotto il fuoco dopo gli eventi della scorsa primavera, quando il gruppo Lapsus$ era riuscito a introdursi nei sistemi informatici dell'azienda di Redmond.

Stavolta a subirne le conseguenze sarebbero oltre 200.000 server e i colpevoli potrebbero essere cinesi, ma non c'è ufficialità in questo. Di fatto i malintenzionati restano sconosciuti e le falle zero-day sono state scoperte per la prima volta dalla società di sicurezza vietnamita GTSC, i cui ricercatori hanno rilevato webshell dannosi sulle reti dei clienti in relazione a una vulnerabilità nel software Exchange.

Inizialmente erano state rilevate similitudini con il noto zero-day ProxyShell del 2021 (CVE-2021-34473), ma in seguito a ulteriori approfondimenti i ricercatori hanno scoperto che la sua origine era ancora sconosciuta. Microsoft si è successivamente unita al coro confermando l'analisi GTSC ed evidenziando due nuovi falle nella popolare piattaforma di mailing dell'azienda: CVE-2022-41040, una vulnerabilità di falsificazione lato server, e CVE-2022-41082, che consente l'esecuzione di codice in modalità remota attraverso PowerShell.

Microsoft ha registrato attività limitate per quanto riguarda gli attacchi mirati basati sulle due falle zero-day. I malintenzionati stanno sfruttando CVE-2022-41040 per attivare in remoto CVE-2022-41082, anche se Redmond assicura che un'intrusione riuscita necessita di credenziali valide per almeno un utente di posta elettronica sul server interessato.

Come detto inizialmente potrebbero essere oltre 200.000 i server Exchange vulnerabili ai nuovi attacchi, assieme a un altro migliaio in configurazioni ibride. Le minacce riguarderebbero solo le versioni locali del server Exchange, mentre quelli ospitati sulla piattaforma cloud di Microsoft dovrebbero essere sicuri.

L'ipotesi cinese deriva dal fatto che I webshell trovati dai ricercatori GTSC sui server compromessi contengono caratteri cinesi semplificati, dunque si è fatta strada l'ipotesi che alle spalle ci siano hacker sponsorizzati addirittura dal governo, ma siamo ovviamente fermi a livello di ipotesi.

Il rischio è altissimo e Microsoft sta lavorando assiduamente allo sviluppo di una patch che consenta di chiudere il prima possibile le falle, tuttavia in attesa della risoluzione ci sono dei consigli per i clienti di Exchange. L'obiettivo è mitigare eventuali intrusioni e per farlo si consiglia un blocco del traffico Internet tramite la porta HTTP 5985 e la porta HTTPS 5986. Microsoft specifica infine che i clienti di Exchange Online non devono intraprendere alcuna azione, poiché questi attacchi non li riguardano.

AGGIORNAMENTO: NUOVE MITIGAZIONI MICROSOFT

Microsoft ha aggiornato le mitigazioni per le ultime vulnerabilità zero-day di Exchange rilevate come CVE-2022-41040 e CVE-2022-41082, denominate anche ProxyNotShell. Le raccomandazioni iniziali erano insufficienti poiché i ricercatori hanno dimostrato che possono essere facilmente aggirate per consentire nuovi attacchi che sfruttano i due bug. Martedì, Microsoft ha annunciato di aver aggiornato i suoi avvisi con la regola di riscrittura degli URL migliorata, consigliando ai clienti di Exchange Server di esaminarla e di adottare una delle opzioni di mitigazione fornite.

I clienti con Exchange Emergency Mitigation Service (EEMS) abilitato traggono vantaggio automaticamente dall'aggiornamento della mitigazione della riscrittura degli URL per Exchange Server 2016 ed Exchange Server 2019.

Lo script EOMTv2 (versione 22.10.03.1829) ora include il miglioramento della regola di riscrittura degli URL. Viene aggiornato automaticamente su macchine connesse a Internet e dovrebbe essere eseguito nuovamente su qualsiasi server Exchange senza EEMS abilitato. La terza opzione consiste nell'eliminare manualmente la regola creata in precedenza e aggiungere quella migliorata seguendo le istruzioni seguenti:

  • Aprire Gestione IIS
  • Selezionare "Sito Web predefinito"
  • Nella Visualizzazione funzionalità, fare clic su "Riscrivi URL"
  • Nel riquadro Azioni sul lato destro, fare clic su "Aggiungi regole"
  • Selezionare "Richiedi blocco" e cliccare OK
  • Aggiungere la stringa “ .*autodiscover\.json.*Powershell.* ” (virgolette escluse).
  • Selezionare "Espressione regolare in Utilizzo".
  • Selezionare "Annulla richiesta in Come bloccare" e quindi fare clic su OK.
  • Espandere la regola e selezionare la regola con il modello: .*autodiscover\.json.*Powershell.* e fare clic su Modifica in Condizioni.
  • Modificare l'input "Condizione" da {URL} a {REQUEST_URI}

Il miglior iPhone di sempre? Apple iPhone 15 Pro, in offerta oggi da Trendevice.com a 899 euro oppure da eBay a 984 euro.

30

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
sopaug

ti consiglio il corso di ing del sw al primo anno di università per capire di cosa si parla. Poi torna. Non prima.

E' arrivato l'ennesimo scribacchino di codice fai da te a dare lezioni agli ing microsoft...

criticoMaNonTroppo

Asfaltato... Dai su vai a studiare cosa significa type safe

criticoMaNonTroppo
qualunquisti ridicoli

p.s.

Mi hai posizionato in un estremo INESISTENTE (o meglio che esiste solo nella tua test0lina) solo per potermi attaccare.

La realtà a che ti ho SDRAIATO letteralmente con le argomentazioni ma tu sai solo ripetere la filastrocca del "nessuno scrive software bug-free!12 uèèèèè", senza vedere la realtà catastrofica di cui siamo testimoni con 0-day ogni santo giorno, dovuti a software rilasciato di fretta, progettato per funzionalità e non per sicurezza e scritto in linguaggi che dovrebbero essere usati solo per il kernel.

detto ciò ti blocco per sempre, sarà un piacere non leggerti mai più

p.s

ho 30 anni di programmazione, iniziato a basso livello in assembly, un saluto finale a te che non ne hai detta una giusta ;)

criticoMaNonTroppo

Cm dicevo non hai neanche le basi di QA sennò non avresti ripetuto concetti che sono nel syllabus del corso base cercando di farli passare cm una genialità urlando per evidenziare ancora di più la tua ignoranza, quindi si é capito da che lato sei tu e che é inutile parlare con chi non ha esperienza e conoscenza del settore. Continua a rimanere nel lato dove sei, io ti avevo almeno suggerito di leggerti le nozioni base.

qualunquisti ridicoli

il fatto che sia impossibile ottenere la perfezione non significa che sia necessario tollerare questo quotidiano pressapochismo di cui siamo testimoni.

Ci sono 0-day ogni giorno per prodotti stra-diffusi.

Tu derubrichi il tutto a "non è possibile essere perfetti"?
BENE. TU SEI LA CAUSA DEL PROBLEMA.

Ci sono mille varianti fra essere perfetti ed avere controlli molto più serrati, usare linguaggi type safe (cerca cosa significa, visto che il tuo livello mi pare bassino), non inseguire le funzionalità, ma progettare prima la sicurezza, fare refactoring di vecchi prodotti progettati quando la sicurezza non era un problema e così via.
MA TU CONTINUA PURE COL TUO OTTUSO "NON E' POSSIBILE LA PERFEZIONE", VEDRAI COME MIGLIORERA' IL MONDO!

p.s.
"Miriadi di programmatori e QA tester, un azienda cm Microsoft e un pinco pallino su un forum ne sa di più."

NO.
IO NE SO DI MENO, MA LORO NON HANNO LE CONDIZIONI PER LAVORARE AL MEGLIO SUL FRONTE DELLA SICRUEZZA, VISTO CHE DEVONO CONSEGNARE IN TEMPO, GENIO.
LA SICUREZZA SI IMPONE DALL'ALTO MA *COSTA SOLDI E TEMPO*

Esattamente come io non guido bene come shuimacher, ma ho fatto meno incidenti di lui, perchè lui è costretto ad andare al limite.

criticoMaNonTroppo

Ma cosa vuoi mitigare? Hai almeno una base di programmazione? Sai che non esiste software a prova di bug? Sai cm funziona un QA testing? Non esiste software a prova di bug, dovresti farti almeno un corso base di QA testing. Hai perso tempo a commentare su un argomento che non conosci, pensavi di essere brillante ma cm la maggior parte degli italiani parlano senza avere un istruzione adeguata. Ci sn terremoti tutti ingegneri civili, pandemia tutti medici. Se non conosci la materia dovresti stare solo zitto. Miriadi di programmatori e QA tester, un azienda cm Microsoft e un pinco pallino su un forum ne sa di più. Bha, i moderatori dovrebbero bannare chi dice baggianate palesi senza conoscere le basi.

qualunquisti ridicoli

Vulnerabilità di software che girano sui server sono micidiali perché per definizione o blocchi il servizio lato pubblico e aspetti la patch, oppure preghi che non trovino il tuo servizio (che probabilmente è già censito sui vari motori).

Ma tanto, come dicono le cime del forum, "se vogliono entrano" quindi lascia pure aperta pure la porta di casa :DDD

Roby One

Ho giusto ricevuto una strana Mail Delivery System che dice che il mio database sql sarebbe stato hackerato e vogliono 3000$ in bitcoin. Altrimenti pubblicano tutto e la mia reputazione bla bla bla.
Ora, io ho un piccolo sitoweb meteo personale (col relativo dominio e database sql), quindi tutto sommato me ne frego di che fine faranno le temperature ma non e' la prima volta che capita.
Tempo fa più o meno la stessa cosa successe sempre a un database sql che pero' avevo su un nas personale, esposto online (mi serviva per fare prove).
Magari il mio sistema non era il massimo a difesa, ma a quanto pare nemmeno quello che ho comprato.

qualunquisti ridicoli

e via... si parte anche sui server SQL:

https://www.bleepingcomputer.com/news/security/hundreds-of-microsoft-sql-servers-backdoored-with-new-malware/

qualunquisti ridicoli

Se hai qualche argomentazione sulla situazione dell'informatica attuale e su come mitigare gli attacchi, sei il benvenuto.

Per ora non hai detto nulla, ma hai perso tempo a rispondere pensando pure di essere brillante.
Francamente non capisco perché i moderatori non bannino gente come te.

criticoMaNonTroppo
qualunquisti ridicoli

colpa degli utenti che al posto di pretendere leggi durissime e controlli rigorosi per chi scrive software, non fanno altro che giustificare questo scempio ripetendo ritornelli senza senso come "niente è inviolabile".

Marco 1979

Basta spegnerli per mitigare, semplice

comatrix

Ah ok ^_^

Felix

“Women meme”

migliorare

Non la voglio scaricare, voglio sapere cos'ha cercato per usarla da altre parti (senza doverla scaricare)

comatrix

Che io sappia non c'è bisogno di rispondere per scaricare la gif

migliorare

Sì, mi interessa la gif... :-)

comatrix

Ma ancora rispondete a questi utenti?

comatrix

Io mi chiedo se tutti questi server che mettono a disposizione in rete non siano più deleteri che uno fatto in casa, a sto punto....
Non perché quello in casa sia più sicuro, semplicemente perché:

- a nessuno frega di una singola persona qualunque a meno che non sia il dirigente d un qualcosa cui possa rendere
- un singolo utente è meno ghiotto di una pletora di utenti (1 utente è uno spreco volendo, 1 milione di utenti è un'opportunità, vai a sapere cosa ci si trova dentro)
- l'anonimato in questi casi è la cosa migliore che esista, nel senso che meno ti conoscono e più sei sicuro (in pratica devi essere un signor nessuno e non interessare a nessuno)

Con questi criteri si ha una pace e tranquillità che manco l'azienda più illustre nel mercato sicurezza avrebbe

migliorare

Felix al di là della cosa ADORO questa gif, cos'hai cercato? :-)

Simone Dedo

Mi sono informato meglio, ero rimasto un po' indietro a quanto pare la situazione poi è stata chiarita e mi riferisco al primo caso che sto per elencare.

Allora:

1) Le foto di nudo rubate a vip come Jennifer lawrence non è stato dichiarato il phishing, anzi, Apple stessa il giorno in cui negò che potesse trattarsi di un loro problema hanno chiuso una falla brute force sul sistema icloud, quindi non si sa realmente come sono andate le cose.

2) Il caso di Hao Kuo Chi di qualche mese fa invece è come dici tu, è stato lui a spacciarsi per un operatore interno Apple ed è stato lui a fare phishing.

Parliamo però di due casi diversi.

L'amico saggio M3r71n0 però, ti ha saputo rispondere anche meglio di me lascio quindi a lui la parola.

M3r71n0

eh eh eh... non si fa... non ha mai subito attacchi?
https://www.iphoneitalia.com/679940/hacker-apple-1-tb-australia

https://uploads.disquscdn.c...

PuckBeastOfTheEnd

Niente di nuovo, sembra ormai software sviluppato da paperoga

PuckBeastOfTheEnd

x Felix
Attacchi no, peró oltre a non attivare il blocco dopo varie password sbagliate su trova il mio iphone, non applicava la protezione a due fattori, permettendo il download da icloud anche per i vip che l'avevano attiva.

Mako

https://www.cvedetails.com/vulnerability-list.php?vendor_id=49&product_id=&version_id=&page=1&hasexp=0&opdos=0&opec=0&opov=0&opcsrf=0&opgpriv=0&opsqli=0&opxss=0&opdirt=0&opmemc=0&ophttprs=0&opbyp=0&opfileinc=0&opginf=0&cvssscoremin=9&cvssscoremax=0&year=0&month=0&cweid=0&order=1&trc=5770&sha=c1a669bbbe6ce6cbbf30429a9f2a53dc25c58fb6

Felix

Informati meglio, iCloud non ha mai subito attacchi… furono i VIP che stupidamente diedero le proprie credenziali a siti falsi, fu banalissimo phishing.

Simone Dedo

Apple infatti è stata immune da attacchi, soprattutto i VIP con foto rubate in Cloud hanno ritirato le accuse.

Che umiltà amico, che umiltà...

Felix

Microsoft
https://uploads.disquscdn.c...

Android

Recensione Honor Pad 9: un buon tablet, venduto con un'ottima offerta di lancio!

Articolo

Netflix: tutti i film e le serie TV in arrivo ad aprile 2024

Recensione

Recensione MSI MPG 271QRX, immagini di alta qualità a 360 Hz

Mobile

Swisscom acquisisce Vodafone Italia per 8 miliardi: verrà integrata con Fastweb