
Attacchi 0-Day su Exchange Server
03/03/2021
Proto: N010321.
Con la presente CERT-Yoroi desidera informarla riguardo una serie di vulnerabilità sui sistemi Microsoft Exchange Server oggetto di attacchi 0-day. Le vulnerabilità sono note con gli identificativi CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065.
Le falle sono causate da lacune nella gestione delle richieste utente nelle componenti OWA, raggiungibili su porte 80/443, le quali possono permettere ad un attaccante remoto non autenticato di compromettere il server di posta. In particolare, le falle sono sfruttate in maniera concatenata per eseguire codice arbitrario a livello privilegiato sui servizi Exchange bersaglio. In dettaglio:
- CVE-2021-26855: falla di tipo Server-Side Request Frogery (SSRF) che, attraverso la creazione di richieste HTTP/HTTPS ad hoc, permette a un attaccante remoto di autenticarsi con utenza di servizio.
- CVE-2021-26857: falla nel componente interno "Unified Message Services" di Exchange Server che permette all’attaccante di eseguire codice con i massimi privilegi sulla macchina.
- CVE-2021-26858 e CVE-2021-27065: permettono di scrivere file arbitrari sulla macchina dove è dispiegato il servizio di Exchange.

Figura. Potenziale Esposizione internet di server Exchange (Source:ShodanHQ)
Microsoft ha confermato che le vulnerabilità in questione sono attivamente sfruttate dall’attore “HAFNIUM” (TH-270), ed ha rilasciato aggiornamenti di sicurezza urgenti (KB5000871) per risolvere le falle. Risultano afflitti i servizi:
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2013
- Microsoft Exchange Server 2010
Considerata la criticità dei sistemi afflitti, la loro potenziale esposizione internet, gli attacchi in corso ed i dettagli tecnici pubblicati, CERT-Yoroi consiglia caldamente di valutare l’esposizione di rete delle interfacce di Microsoft Exchange, di provvedere all’installazione delle patch fornite dal Vendor e di valutare e monitorare la presenza di intrusioni pregresse o in corso, installazioni di webshell ASP o tentativi di sfruttamento di queste falle.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index