Sono stati rilevati attacchi significativi a Microsoft Exchange ProxyLogon, ma c’è ancora tempo per agire

La vulnerabilità ProxyLogon è essenzialmente una versione elettronica della rimozione di tutti i controlli di accesso, le protezioni e le serrature dalle principali porte d’ingresso dell’azienda in modo che chiunque possa semplicemente entrare, secondo Antti Laatikainen, senior security consultant di F-Secure. Ma le aziende possono impedire il massimo sfruttamento di questa vulnerabilità nei loro server Microsoft Exchange se agiscono subito.

“Ci stiamo avvicinando alla fine del periodo di tempo in cui possiamo influenzare la quantità di dati rubati”, ha detto Laatikainen. “Questi attacchi non sono alimentati dalla magia nera. Le aziende che dispongono di funzionalità di monitoraggio della sicurezza, come Endpoint Detection and Response (EDR) o Managed Detection and Response (MDR) insieme al monitoraggio della rete e a policy di pathing efficaci, possono reagire. Ci sono un sacco di cose che possono fare manualmente per prevenire un disastro completo. Li incoraggio solo a farle immediatamente.”

Prevalenza di TR/Downloader.Gen dal 01.03.2021 ad oggi.

Una detection di una webshell generica, TR/Downloader.Gen, ha registrato un picco la scorsa settimana dopo il rilascio del file proof-of-concept della vulnerabilità ProxyLogon l’11 marzo. Sebbene abbia raggiunto il picco lo scorso mercoledì, continua a rilevare quantità significative di attività, nell’ordine delle decine di migliaia. I Paesi che registrano il maggior numero di rilevamenti, in ordine decrescente, sono Italia, Germania, Francia, Regno Unito, Stati Uniti, Belgio, Kuwait, Svezia, Paesi Bassi e Taiwan.

Prevalenza di detection TR/Downloader.Gen per Paese.

La necessità di agire è urgente

Un attaccante potrebbe rapidamente entrare in possesso di un server compromesso, caricare file e programmi e utilizzare il server come trampolino di lancio in altre parti di una rete. Poiché ProxyLogon consente l’accesso ai livelli inferiori del server e da lì al resto della rete dell’organizzazione, ciò rende possibile una vasta serie di intrusioni silenziose all’interno della rete. Ad esempio, nel caso Vastaamo, i record di 40.000 pazienti in psicoterapia sono stati violati prima che qualcuno si accorgesse che il server del database era stato compromesso.

La paura peggiore per la community della cyber security è che in questo momento si stiano verificando dozzine o addirittura centinaia di data breach tipo quello di Vastaamo nelle reti aziendali. Queste violazioni potrebbero verificarsi in background, completamente inosservate. Solo dopo mesi o anni diventerà chiaro cosa è stato rubato. Se un attaccante sa cosa sta facendo, molto probabilmente i dati sono già stati rubati o vengono rubati in questo momento.

A peggiorare le cose, gli script di attacco automatico proof-of-concept vengono resi disponibili al pubblico, consentendo anche agli attaccanti non qualificati di ottenere rapidamente il controllo remoto di un server Microsoft Exchange vulnerabile. Esiste persino un pacchetto completamente funzionante per sfruttare la catena di vulnerabilità pubblicato nell’applicazione Metasploit, che viene comunemente utilizzata sia per l’hacking che per i test di sicurezza. Questa opportunità di attacco gratuito per tutti viene ora sfruttata da un gran numero di bande criminali, threat actor sostenuti dagli Stati e curiosi “script kiddies” opportunisti.

Presumi una violazione

“Decine di migliaia di server sono stati violati in tutto il mondo”, afferma Laatikainen. “Vengono hackerati più velocemente di quanto possiamo immaginare. A livello globale, questo è un disastro in divenire”.

Secondo le analisi di F-Secure, solo circa la metà dei server Exchange visibili su Internet ha applicato le patch Microsoft per queste vulnerabilità. Sfortunatamente, l’installazione delle patch di sicurezza da sola non garantisce che il server sia sicuro, poiché un hacker potrebbe averlo violato prima dell’installazione dell’aggiornamento.

“Negli ultimi 20 anni in cui sono stato nel settore, non è mai stato così giustificato presumere che ci sia stato almeno un ‘bussare digitale’ alla porta di ogni azienda che ha Exchange Outlook Web Access installato nel mondo. Poiché l’accesso è così semplice, si può presumere che la maggior parte di questi ambienti sia stata violata”, ha affermato Laatikainen.

Il danno può ancora essere limitato

Poiché violazioni come questa vengono eseguite in più fasi, è spesso possibile rilevare la ricognizione degli intrusi. È ancora possibile limitare il danno o, in alcuni casi, evitarlo completamente.

Laatikainen prevede che le aziende inizieranno presto a segnalare le violazioni.

“La normativa sulla protezione dei dati GDPR richiede che il furto di dati personali debba essere segnalato alle autorità per la protezione dei dati entro 72 ore. C’è da aspettarsi che il numero di segnalazioni di violazioni nell’ambito del GDPR in arrivo nelle prossime settimane resterà nella storia. La tua azienda non deve essere nella lunga lista di organizzazioni che segnalano violazioni domani se fai i passi giusti oggi.”