Ecco cosa sappiamo finora dell’enorme hack di Microsoft Exchange
11 Marzo 2021
0
0
PUNTI CHIAVE
- Il 2 marzo, Microsoft ha dichiarato che c’erano delle vulnerabilità nel suo software di posta e calendario Exchange Server per i data center aziendali e governativi. Le vulnerabilità risalgono a 10 anni fa e sono state sfruttate dagli hacker cinesi almeno da gennaio.
- Il gruppo, che Microsoft ha soprannominato Hafnium, ha l’obiettivo di ottenere informazioni da appaltatori della difesa, scuole e altre entità negli Stati Uniti, secondo un post sul blog del VP di Microsoft Tom Burt.
- L’hacking potrebbe indurre le aziende a spendere di più in software di sicurezza e ad adottare la posta elettronica basata su cloud invece di gestire internamente i propri server di posta elettronica.
Satya Nadella, amministratore delegato di Microsoft Corp., si ferma durante un evento Bloomberg il giorno di apertura del Forum economico mondiale (WEF) a Davos, in Svizzera, martedì 21 gennaio 2020.Simon Dawson | Bloomberg | Getty Images
Una settimana fa, Microsoft ha rivelato che gli hacker cinesi stavano ottenendo l’accesso agli account di posta elettronica delle organizzazioni attraverso le vulnerabilità nel suo software di posta elettronica Exchange Server e ha rilasciato patch di sicurezza.
L’hacking si distinguerà probabilmente come uno dei principali eventi di sicurezza informatica dell’anno, perché Exchange è ancora ampiamente utilizzato in tutto il mondo. Potrebbe indurre le aziende a spendere di più in software di sicurezza per prevenire futuri attacchi e a passare alla posta elettronica basata su cloud invece di gestire i propri server di posta elettronica internamente.
I reparti IT stanno lavorando per applicare le patch, ma ciò richiede tempo e la vulnerabilità è ancora diffusa. Lunedì, la società di sicurezza Internet Netcraft ha dichiarato di aver eseguito un’analisi durante il fine settimana e di aver osservato oltre 99.000 server online che eseguono il software Outlook Web Access senza patch.
Le azioni di Microsoft sono diminuite dell′1,3% dal 1 ° marzo, il giorno prima che la società rivelasse le emissioni, mentre l’indice S&P 500 è sceso dello 0,7% nello stesso periodo.
Ecco cosa devi sapere sugli attacchi informatici di Microsoft:
Quello che è successo?
Il 2 marzo, Microsoft ha dichiarato che c’erano delle vulnerabilità nel suo software di posta e calendario Exchange Server per i data center aziendali e governativi. La società ha rilasciato patch per le versioni 2010, 2013, 2016 e 2019 di Exchange.
In genere, Microsoft rilascia gli aggiornamenti il Patch Tuesday, che si verifica il secondo martedì di ogni mese, ma l’annuncio sugli attacchi al software Exchange è arrivato il primo martedì, sottolineando il suo significato.
Microsoft ha anche intrapreso il passo insolito di rilasciare una patch per l’edizione 2010, anche se il supporto è terminato a ottobre. “Ciò significa che le vulnerabilità sfruttate dagli aggressori si trovano nella base di codice di Microsoft Exchange Server da più di 10 anni”, ha scritto il blogger sulla sicurezza Brian Krebs in un post sul blog di lunedì .
Gli hacker avevano inizialmente perseguito obiettivi specifici, ma a febbraio hanno iniziato a cercare più server con il software vulnerabile che potevano individuare, ha scritto Krebs.
Le persone sfruttano le vulnerabilità?
Sì. Microsoft ha affermato che il principale gruppo che sfrutta le vulnerabilità è un gruppo di stati-nazione con sede in Cina che chiama Afnio.
Quando sono iniziati gli attacchi?
Gli attacchi al software Exchange sono iniziati all’inizio di gennaio, secondo la società di sicurezza Volexity , a cui Microsoft ha riconosciuto il merito di aver identificato alcuni dei problemi.
Come funziona l’attacco?
Tom Burt, un vicepresidente aziendale di Microsoft, ha descritto in un post sul blog la scorsa settimana come un utente malintenzionato avrebbe eseguito più passaggi:
In primo luogo, otterrebbe l’accesso a un server Exchange con password rubate o utilizzando le vulnerabilità precedentemente sconosciute per camuffarsi da qualcuno che dovrebbe avere accesso. In secondo luogo, creerebbe una cosiddetta shell web per controllare da remoto il server compromesso. Terzo, userebbe quell’accesso remoto – eseguito dai server privati con sede negli Stati Uniti – per rubare dati dalla rete di un’organizzazione.
Tra le altre cose, gli aggressori hanno installato e utilizzato software per acquisire dati di posta elettronica, ha affermato Microsoft.
I difetti interessano i servizi cloud come Office 365?
No. Le quattro vulnerabilità rivelate da Microsoft non interessano Exchange Online, il servizio di posta elettronica e calendario basato su cloud di Microsoft incluso nei pacchetti di abbonamento commerciali di Office 365 e Microsoft 365.
Cosa prendono di mira gli aggressori?
Il gruppo ha lo scopo di ottenere informazioni da appaltatori della difesa, scuole e altre entità negli Stati Uniti, ha scritto Burt. Le vittime includono rivenditori statunitensi, secondo la società di sicurezza FireEye , e la città di Lake Worth Beach, in Florida, secondo il Palm Beach Post . L’Autorità bancaria europea ha dichiarato di essere stata colpita.
Quante vittime ci sono in tutto?
I media hanno pubblicato stime variabili sul numero delle vittime degli attacchi. Venerdì il Wall Street Journal , citando una persona anonima, ha detto che potrebbero essere 250.000 o più.
Le patch bandiranno gli aggressori dai sistemi compromessi?
Microsoft ha detto di no .
Ha qualcosa a che fare con SolarWinds?
No, gli attacchi a Exchange Server non sembrano non essere correlati alla minaccia SolarWinds, alla quale l’ex segretario di Stato Mike Pompeo ha detto che la Russia era probabilmente collegata. Tuttavia, la divulgazione arriva meno di tre mesi dopo che agenzie e società governative statunitensi hanno dichiarato di aver trovato contenuti dannosi negli aggiornamenti del software Orion della società di tecnologia dell’informazione SolarWinds nelle loro reti.
Cosa sta facendo Microsoft?
Microsoft incoraggia i clienti a installare le patch di sicurezza fornite la scorsa settimana. Ha anche rilasciato informazioni per aiutare i clienti a capire se le loro reti sono state colpite.
“Poiché siamo a conoscenza di exploit attivi di vulnerabilità correlate in natura (attacchi mirati limitati), la nostra raccomandazione è di installare immediatamente questi aggiornamenti per proteggersi da questi attacchi”, ha affermato Microsoft in un post sul blog .
Lunedì la società ha reso più facile per le aziende trattare la propria infrastruttura rilasciando patch di sicurezza per le versioni di Exchange Server che non disponevano degli aggiornamenti software disponibili più recenti. Fino a quel momento, Microsoft aveva affermato che i clienti avrebbero dovuto applicare gli aggiornamenti più recenti prima di installare le patch di sicurezza, il che ha ritardato il processo di gestione dell’hacking.
“Stiamo lavorando a stretto contatto con la CISA [la Cybersecurity and Infrastructure Security Agency], altre agenzie governative e società di sicurezza per garantire che stiamo fornendo la migliore guida e mitigazione possibili per i nostri clienti”, ha detto un portavoce di Microsoft alla CNBC lunedì in una e-mail. . “La migliore protezione è applicare gli aggiornamenti il prima possibile a tutti i sistemi interessati. Continuiamo ad aiutare i clienti fornendo ulteriori indagini e indicazioni sulla mitigazione. I clienti interessati devono contattare i nostri team di supporto per ulteriore assistenza e risorse. ”
Quali sono le implicazioni?
Gli attacchi informatici potrebbero finire per essere vantaggiosi per Microsoft. Oltre a fare Exchange Server, vende software di sicurezza che i clienti potrebbero essere inclini a iniziare a utilizzare.
“Riteniamo che questo attacco, come SolarWinds, manterrà alta l’urgenza della sicurezza informatica e probabilmente rafforzerà la spesa per la sicurezza su base ampia nel 2021, anche con Microsoft, e accelererà la migrazione al cloud”, gli analisti di KeyBanc guidati da Michael Turits, che hanno l’equivalente di un buy rating su azioni Microsoft, ha scritto in una nota distribuita ai clienti lunedì.
Ma molti clienti Microsoft sono già passati alla posta elettronica basata su cloud e alcune aziende si affidano a Gmail basato su cloud di Google, che non è influenzato dai difetti di Exchange Server. Di conseguenza, l’impatto degli attacchi avrebbe potuto essere peggiore se fossero avvenuti cinque o 10 anni fa e non ci sarebbe necessariamente una corsa al cloud a causa di Afnio.
“Conosco molte organizzazioni, grandi e piccole, ed è più un’eccezione che una regola quando qualcuno è tutto in sede”, ha affermato Ryan Noon, CEO di Material Security, start-up per la sicurezza della posta elettronica.
Gli analisti di DA Davidson Andrew Nowinski e Hannah Baade hanno scritto in una nota di martedì che gli attacchi potrebbero aumentare l’adozione di prodotti da società di sicurezza come Cyberark , Proofpoint e Tenable .
