Attacco hacker a Microsoft Exchange, cos’è successo davvero e cosa fare subito
Dell’attacco ad Exchange hanno parlato tutti in ambito IT e non solo, ma cosa è successo davvero? Ricominciamo dall‘inizio: qualche settimana fa è stato colpito da Microsoft Exchange, uno dei programmi più diffusi al mondo per l’organizzazione aziendale di e-mail e appuntamenti sul calendario. Sì, proprio lo strumento che nel business permette di sincronizzare la posta e fissare call.
A sferrare il colpo sono stati hacker di origine cinese e le vicende sono saltate subito alla ribalta internazionale in un momento in cui, per il remote working, i sistemi aziendali rischiano molto in termini di cybersecurity. Il bersaglio principale non sono stati i server cloud bensì quelli “on premises” cioè installati direttamente all’interno dei dispositivi negli uffici.
Vediamo i dettagli del problema che si è venuto a creare e che cosa si dovrà fare ora. Saremo accompagnati nella spiegazione dalle parole di un professionista che quotidianamente si occupa di sicurezza e piattaforme Microsoft, ovvero Michele Sensalari, CTO di OverNet Education.
Patching and mitigation is not remediation if the servers have already been compromised. It is essential that any organization with a vulnerable server take immediate measures to determine if they were already targeted. https://t.co/HYKF2lA7sn
— National Security Council (@WHNSC) March 6, 2021
Microsoft Exchange, cos’è successo
Porta di accesso a Microsoft Exchange sono stati alcuni punti deboli. Si tratta di quattro “vulnerabilità” attraverso cui i pirati informatici sono riusciti a prendere possesso di migliaia di messaggi, procedendo con il cancellarne alcuni, trasferirne altri e tenere così sotto scacco imprese intere.
Il primo sentore era arrivato mesi fa, ad ottobre 2020 e gli esperti di Microsoft si erano subito attivati con vari aggiornamenti fino ad una patch ad hoc, da pubblicare il 9 marzo, detto il “Patch Tuesday”. Tale nome è dovuto al fatto che il secondo martedì del mese è il giorno scelto per il rilascio delle patch, letteralmente “porzioni” di software, progettate per migliorarli.
Davanti a un massiccio attacco in tale direzione, il tutto è stato eccezionalmente anticipato di una settimana, ma a quanto sembra non è bastato.
Centinaia di migliaia di server potrebbero essere ancora in pericolo a causa delle “web shell”, cioè entrate secondarie (“back door”) da cui i malintenzionati possono continuare a controllare altri utenti collegandosi successivamente.
Bisognerà dunque agire dall’interno, ossia con le proprie forze, dal momento che vittime dell’attacco sono i dispositivi interni alle aziende e purtroppo non tutte hanno installato la patch di cui sopra. Per essere completamente certi di mettere in salvo i propri dati ed eliminare le web shell in alcuni casi andrà probabilmente ripristinato il sistema operativo. Le imprese italiane non sono esenti dall’impasse creatosi in questi giorni, per cui ora c’è da organizzarsi su come procedere.
Microsoft Exchange, cosa fare subito
Per approfondire la questione Sergentelorusso ha sentito in esclusiva Michele Sensalari, CTO (Chief Technology Officer) di OverNet Education, centro attivo nella formazione e nell’organizzazione di eventi in materia IT.
“Sono stati rubati molti dati dalle caselle di poste degli utenti – ha sottolineato Sensalari – e hanno cominciato a fare attacchi di diverso tipo utilizzando dei ramsomware. Lo sfruttamento delle vulnerabilità era iniziato ad ottobre e da lì Microsoft, con opportune indagini, aveva scoperto che le versioni di Exchange 2010, 2013, 2016 e 2019 avevano delle problematiche.”
Le informazioni sulle falle sono circolate attraverso il dark web (che qui abbiamo distinto dal deep web ) e sono state sfruttate da una decina di organizzazioni criminali che hanno cercato di assalire il maggior numero di Exchange, prendendo di mira quelli presenti sui server fisici.
“Non ci sono stati danni per le piattaforme online” ha aggiunto Sensalari, chiarendo l’identità dei responsabili: “Sono un gruppo hacker di origine cinese noto come Hafnium che opera in territorio statunitense tramite dei virtual network server. Alcune aziende erano riuscite a segnalarne l’attività a Microsoft”.
Poi un riepilogo sullo scenario attuale: “Le versioni 2013, 2016 e 2019 sono le più diffuse e allo stesso tempo quelle più colpite, rispetto alla 2010 che ha solo una delle quattro vulnerabilità”. E sulle priorità da seguire arriva la raccomandazione di scaricare gli aggiornamenti e i security update, che coprono i buchi che si sono aperti. Eppure questo non basta secondo il CTO di Overnet.
“Esistono vari tool – ha spiegato – che verificano la presenza di vulnerabilità tra cui Microsoft Defender for Endpoint. In alternativa all’aggiornamento c’è la possibilità di azioni manuali, tramite codici, da parte di operatori IT. L’ulteriore passo da fare è l’individuazione di eventuali web shell”.
Dalle suddette dichiarazioni si nota come Microsoft stia mettendo in campo con decisione diverse soluzioni per mettere in sicurezza i propri ambienti di lavoro. Un’operazione molto articolata dei vendor tecnologici, se si considera che l’installazione delle patch richiede tempi molto lunghi. La parola d’ordine è ora quella di fare presto e offrire garanzie nel breve periodo.
“L’ultima notizia – ha concluso Sensalari – è che si possono rilevare gli Exchange problematici anche attraverso l’antivirus di Microsoft. La situazione è in continua evoluzione e ci sono novità ogni giorno. A mio avviso, davanti a questi avvenimenti, ribadisco ancora una volta a tutti di dare sempre un occhio alla sicurezza, è un qualcosa di fondamentale”.