Exchange: ProxyLogon sfruttata da un ransomware

Exchange: ProxyLogon sfruttata da un ransomware

Le vulnerabilità ProxyLogon di Exchange Server (le patch sono già disponibili) sono state sfruttate per eseguire attacchi con il ransomware DearCry.
Le vulnerabilità ProxyLogon di Exchange Server (le patch sono già disponibili) sono state sfruttate per eseguire attacchi con il ransomware DearCry.

Nonostante un discutibile ritardo, Microsoft ha rilasciato le patch che correggono le quattro vulnerabilità (note come ProxyLogon) di Exchange Server, ma i pericoli non sono terminati. Alcuni malintenzionati hanno infatti sfruttato i bug per installare il ransomware DearCry. Nel frattempo, l’azienda di Redmond ha rimosso da GitHub un tool che consentiva di eseguire attacchi contro i server Exchange.

Exchange ProxyLogon: attacco ransomware

DearCry è stato scoperto da Michael Gillespie, il creatore del sito ID Ransomware che permette di identificare il ransomware attraverso la richiesta di riscatto o un file cifrato. Molti utenti hanno iniziato a caricare i file dal 9 marzo. Gillespie ha quindi rilevato che quasi tutti erano stati inviati da server Microsoft Exchange.

Un Security Program Manager di Microsoft ha confermato che il ransomware DearCry è stato installato sui server non aggiornati.

L’azienda di Redmond ha nuovamente consigliato agli utenti di installare al più presto le patch rilasciate all’inizio del mese.

DearCry cifra i file presenti sul computer (aggiungendo l’estensione .crypt) con le crittografie AES a 256 bit e RSA a 2048 bit. Per accedere nuovamente ai file deve essere contattato l’autore del ransomware tramite email. Ad almeno una delle vittime è stato chiesto un riscatto di 16.000 dollari.

In base ad una ricerca di ESET, attualmente ci sono almeno 10 gruppi di cybercriminali che hanno sfruttato le quattro vulnerabilità di Exchange Server. Secondo Palo Alto Networks ci sono oltre 125.000 server ancora vulnerabili in tutto il mondo.

Questo è sicuramente il motivo per cui Microsoft ha rimosso da GitHub il codice di un tool “proof-of-concept” che consente di eseguire attacchi, sfruttando due delle quattro vulnerabilità. L’autore (un ricercatore di sicurezza vietnamita) ha spiegato che voleva solo informare gli utenti. Alcuni colleghi hanno criticato la decisione di Microsoft, parlando di censura. Altri invece appoggiano la scelta perché il tool era troppo pericoloso.

Questa è la risposta ufficiale di Microsoft:

Comprendiamo che la pubblicazione e la distribuzione del codice dell’exploit proof of concept ha un valore educativo e di ricerca per la comunità e il nostro obiettivo è bilanciare tale vantaggio con il mantenimento della sicurezza dell’ecosistema. In base alle nostre Acceptable Use Policies abbiamo disabilitato il gist in seguito ai report che segnalavano la presenza del codice per sfruttare una vulnerabilità divulgata di recente.

Link copiato negli appunti

Ti potrebbe interessare

12 03 2021
Link copiato negli appunti