Logo
Hamburger Menu Icon
Yoroi Background

Attacchi 0-Day su Exchange Server

Proto: N010321.

Con la presente CERT-Yoroi desidera informarla riguardo una serie di vulnerabilità sui sistemi Microsoft Exchange Server oggetto di attacchi 0-day. Le vulnerabilità sono note con gli identificativi CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065. 

Le falle sono causate da lacune nella gestione delle richieste utente nelle componenti OWA, raggiungibili su porte 80/443, le quali possono permettere ad un attaccante remoto non autenticato di compromettere il server di posta. In particolare, le falle sono sfruttate in maniera concatenata per eseguire codice arbitrario a livello privilegiato sui servizi Exchange bersaglio. In dettaglio: 

  • CVE-2021-26855: falla di tipo Server-Side Request Frogery (SSRF) che, attraverso la creazione di richieste HTTP/HTTPS ad hoc, permette a un attaccante remoto di autenticarsi con utenza di servizio.
  • CVE-2021-26857: falla nel componente interno "Unified Message Services" di Exchange Server che permette all’attaccante di eseguire codice con i massimi privilegi sulla macchina. 
  • CVE-2021-26858 e CVE-2021-27065: permettono di scrivere file arbitrari sulla macchina dove è dispiegato il servizio di Exchange.  

Figura. Potenziale Esposizione internet di server Exchange (Source:ShodanHQ) 

Microsoft ha confermato che le vulnerabilità in questione sono attivamente sfruttate dall’attore “HAFNIUM” (TH-270), ed ha rilasciato aggiornamenti di sicurezza urgenti (KB5000871) per risolvere le falle. Risultano afflitti i servizi: 

  • Microsoft Exchange Server 2016 
  • Microsoft Exchange Server 2019 
  • Microsoft Exchange Server 2013 
  • Microsoft Exchange Server 2010 

Considerata la criticità dei sistemi afflitti, la loro potenziale esposizione internet, gli attacchi in corso ed i dettagli tecnici pubblicati, CERT-Yoroi consiglia caldamente di valutare l’esposizione di rete delle interfacce di Microsoft Exchange, di provvedere all’installazione delle patch fornite dal Vendor e di valutare e monitorare la presenza di intrusioni pregresse o in corso, installazioni di webshell ASP o tentativi di sfruttamento di queste falle.  

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index 

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram