I criminali informatici irrompono nei server Microsoft Exchange sfruttando le vulnerabilità ProxyShell e ProxyLogon per diffondere malware e aggirare il rilevamento dei filtri antispam utilizzando risposte false alle e-mail aziendali interne.
In queste campagne malevole di posta elettronica, il trucco è convincere il destinatario a fidarsi del mittente abbastanza da aprire un allegato decisamente dannoso.
Attacco ai server Microsoft Exchange: tre lezioni (fondamentali) che dobbiamo imparare
Indice degli argomenti
L’exploit delle vulnerabilità ProxyLogon e ProxyShell
Gli specialisti della società di sicurezza delle informazioni Trend Micro hanno scoperto e pubblicato un’analisi su un’interessante tattica per l’invio di e-mail dannose da server Microsoft Exchange compromessi e indirizzate ai dipendenti dell’organizzazione attaccata.
L’exploit è utilizzato da un noto gruppo di criminal hacker che diffonde e-mail dannose con allegati che infettano i computer con malware quali Qbot, IcedID e SquirrelWaffle.
Per costringere i dipendenti dell’azienda nella quale è in uso la copia di Microsoft Exchange esposta ad aprire un allegato dannoso, prima i criminal hacker entrano nei server Exchange attraverso le vulnerabilità ProxyShell e ProxyLogon, quindi inviano risposte da loro alle e-mail aziendali interne. Queste e-mail di risposta contengono l’allegato dannoso.
Poiché le lettere sono inviate dalla stessa rete interna e rappresentano una continuazione di una corrispondenza già in corso tra due dipendenti, non destano alcun sospetto tra i destinatari. Inoltre, queste e-mail non sollevano alcun sospetto nemmeno tra i sistemi di protezione automatica delle e-mail, come i filtri antispam.
L’allegato dannoso è un documento di Microsoft Excel nel quale il destinatario deve “attivare il contenuto” per visualizzarlo. Tuttavia, dopo l’attivazione del contenuto, vengono eseguite macro dannose che scaricano sul sistema target e installano i malware ai quali accennavamo prima.
Secondo il rapporto di Trend Micro, questa campagna dannosa diffonde il downloader SquirrelWaffle, che installa il malware Qbot sul sistema. Tuttavia, un ricercatore di Cryptolaemus sotto lo pseudonimo di TheAnalyst afferma su Twitter che non è SquirrelWaffle a scaricare Qbot, ma lo stesso documento dannoso scarica entrambi i programmi separatamente.
Microsoft ha corretto le vulnerabilità di ProxyLogon a marzo 2021 e ProxyShell ad aprile e maggio. I criminali informatici le hanno sfruttate per distribuire ransomware o installare shell web per il successivo accesso ai server. Nel caso di ProxyLogon, le cose sono andate così male che l’FBI ha persino dovuto rimuovere le web shell dai server Microsoft Exchange compromessi negli Stati Uniti senza alcun preavviso agli utenti.
Viene da se ricordare che l’importanza negli aggiornamenti in questo caso può davvero fare la differenza sulla nostra infrastruttura.
Babuk, il ransomware sfrutta vulnerabilità note di Exchange per diffondersi: come difendersi
Attenti a un’altra vulnerabilità, per fortuna già corretta
Si evidenzia anche una terza vulnerabilità (CVE-2021-42321), resa nota il 9 novembre e corretta in occasione del Patch Tuesday dello stesso mese che interessa le installazioni locali di Exchange Server 2016 ed Exchange Server 2019.
L’aggiornamento, in questo caso, riguarda il fatto che ora è disponibile un exploit PoC per tale vulnerabilità zero-day recentemente corretta nei server Microsoft Exchange.
Lo sfruttamento della vulnerabilità quando arriva a buon fine consente a un utente malintenzionato autorizzato di eseguire codice in remoto su server Exchange vulnerabili.
Domenica 21 novembre, due settimane dopo il rilascio della correzione per CVE-2021-42321, un ricercatore con lo pseudonimo Janggggg ha pubblicato un exploit PoC di questa vulnerabilità.
“Questo exploit PoC richiama mspaint.exe sul sistema di destinazione e può essere utilizzato per riconoscere la firma di un attacco riuscito”, ha affermato Janggggg.
“Siamo a conoscenza di attacchi mirati limitati che utilizzano una delle vulnerabilità (CVE-2021-42321), che è una vulnerabilità post-autenticazione in Exchange 2016 e 2019”, ha affermato Microsoft, aggiungendo che gli amministratori di sistema devono applicare le patch disponibili il prima possibile.
Aggiornamenti di sicurezza Microsoft, corretti due zero-day in Exchange server ed Excel: i dettagli
Come mitigare i rischi
Agli amministratori di rete consigliamo di verificare subito se gli eventuali server Exchange ancora vulnerabili sono stati attaccati tramite la vulnerabilità CVE-2021-42321: per fare questo è sufficiente digitare alcune semplici istruzioni PowerShell sul server e leggerne l’output:
Get-EventLog -LogName Applicazione -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }