Chi è HAFNIUM?
All’inizio di marzo, Microsoft ha segnalato un grande attacco coordinato che ha sfruttato le vulnerabilità critiche in Exchange Server 2010, 2013, 2016 e 2019 nel tentativo di esfiltrare credenziali e altre informazioni sensibili dalle cassette postali delle organizzazioni. Microsoft ha attribuito questo attacco a un sofisticato gruppo cinese con nome in codice HAFNIUM. I primi tentativi rilevati risalgono al gennaio 2021. Da allora, altri attori hanno iniziato a utilizzare le vulnerabilità per condurre attacchi simili su vasta scala in un’ampia gamma di settori, tra cui organizzazioni di ricerca sulle malattie infettive, studi legali, istituti di istruzione superiore, consulenti della difesa , gruppi di riflessione sulle politiche e ONG.
Come funziona l’attacco?
Le vulnerabilità di Exchange Server consentono agli avversari di distribuire una shell web (una forma di backdoor accessibile da remoto) in esecuzione come utente SYSTEM altamente privilegiato. Attraverso queste backdoor, gli aggressori possono eseguire comandi sul sistema anche dopo che le vulnerabilità sono state corrette e le patch applicate, consentendo loro di compromettere dati e credenziali o persino di distribuire ransomware o altro malware.
Qual è il modo migliore per aggiornare Exchange Server?
Ti consigliamo vivamente di leggere il post del blog di Microsoft sull’attacco e di scaricare e applicare l’ultimo aggiornamento cumulativo il prima possibile.
Se non puoi farlo in questo momento, ti consigliamo di eseguire questo strumento di mitigazione con un clic di Microsoft per proteggerti temporaneamente dagli attacchi attualmente noti che sfruttano le vulnerabilità di Exchange Server.
Come puoi determinare se i tuoi server Exchange sono stati compromessi?
Microsoft mantiene un elenco di indicatori di compromissione (IOC) e di passaggi di indagine nel proprio blog, sotto il titolo “Posso determinare se sono stato compromesso da questa attività?” È essenziale utilizzare queste informazioni per effettuare una valutazione completa del proprio server Exchange. Se trovi segni di backdoor operative, ti consigliamo vivamente di coinvolgere una società di incident response per valutare l’entità del compromesso e la potenziale esposizione di altre attività.
Come può aiutarti Netwrix Auditor?
Se utilizzi Netwrix Auditor per Exchange, puoi verificare facilmente la presenza di esportazioni sospette di dati delle mailbox e altre attività insolite sui tuoi server Exchange, che possono essere un segnale che sono stati compromessi. Clicca qui per maggiori informazioni
Contatta il Team Mead per verificare eventuali vulnerabilità ed apportare i rimedi necessari.
Tel: +39 0522 265800
Email: info@meadinformatica.it