Codici di Attacco per Vulnerabilità Exchange Server

Proto: N010521.

Con la presente CERT-Yoroi desidera informarla relativamente alla recente pubblicazione di codici di attacco per falle su Microsoft Exchange Server, tra le soluzioni di posta più adottate in ambito Enterprise. La vulnerabilità è nota con l’identificativo CVE-2021-28482 ed è stata referenziata nel bollettino Early Warning N020421. 

In particolare, la vulnerabilità è dovuta a lacune nella gestione di particolari richieste utente di tipo XML sulle interfacce http/s del server di posta che permettono ad attaccanti di rete non autenticati di eseguire comandi arbitrari sui sistemi bersaglio. Queste falle possono essere combinate per installare webshell e compromettere i server vulnerabili.  

Microsoft ha trattato la problematica all'interno del bollettino di sicurezza mensile di Aprile 2021, dove risultano afflitte le versioni:  

• Microsoft Exchange Server 2019  
• Microsoft Exchange Server 2016  
• Microsoft Exchange Server 2013 

Durante le ultime ore, la divisione di Threat Intelligence di CERT-Yoroi ha rilevato la pubblicazione di codici di attacco che aumentano notevolmente il rischio di attacchi verso sistemi non aggiornati. 

Considerata la criticità dei sistemi afflitti, il recente rilascio di codici di exploit funzionanti, la continua attenzione da parte degli attori sia relativi al cyber-crime, sia relativi a APT, e la loro esposizione internet, CERT-Yoroi raccomanda caldamente di appurare l’avvenuta installazione delle patch di sicurezza fornite dal Vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index