Microsoft Exchange: dettagli sugli attacchi

Microsoft Exchange: dettagli sugli attacchi

Microsoft ha fornito ulteriori dettagli sugli attacchi che sfruttano due vulnerabilità zero-day presenti in Exchamge Server 2013, 2016 e 2019.
Microsoft ha fornito ulteriori dettagli sugli attacchi che sfruttano due vulnerabilità zero-day presenti in Exchamge Server 2013, 2016 e 2019.

Microsoft ha pubblicato le informazioni dettagliate sugli attacchi effettuato contro alcuni server Exchange, sfruttando due vulnerabilità zero-day (scoperte dai ricercatori di GTSC). L’azienda di Redmond ha illustrato la catena di infezione, consigliando i possibili rimedi temporanei in attesa del rilascio della patch.

Furto di credenziali e dati aziendali

Le due vulnerabilità sono presenti in Exchange Server 2013, 2016 e 2019. La prima, identificata come CVE-2022-41040, è di tipo SSRF (server-side request forgery) mentre la seconda, identificata come CVE-2022-41082, consente l’esecuzione di codice remoto quando Exchange PowerShell è accessibile ai cybercriminali.

Le vulnerabilità possono essere sfruttate solo tramite accesso autenticato. Sono tuttavia sufficienti le credenziali di un utente standard (non servono i permessi di amministratore), che possono essere ottenute tramite password spray o acquistate nel dark web. Le vulnerabilità possono essere incluse nei toolkit usati per distribuire ransomware.

Dopo aver inviato una richiesta HTTP alla porta 443, i cybercriminali sfruttano la vulnerabilità CVE-2022-41040 per accedere al server Exchange e sfruttare la vulnerabilità CVE-2022-41082 per eseguire codice remoto, ovvero la web shell Chopper. A questo punto è possibile eseguire varie attività, tra cui il furto delle credenziali Active Directory, l’esfiltrazione dei dati e l’accesso ad altri computer collegati alla rete (movimento laterale).

Per bloccare la catena di infezione è possibile utilizzare lo script PowerShell pubblicato da Microsoft. Defender for Endpoint e Defender Antivirus rilevano e bloccano le webshell usate per gli attacchi.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 1 ott 2022
Link copiato negli appunti