Ormai da un paio di settimane stiamo sentendo parlare di una nuova minaccia per cui Microsoft sta mettendo in guardia le aziende, si tratta di HAFNIUM, un gruppo di cyber criminali cinesi che sfrutta le vulnerabilità 0-day di Microsoft Exchange per infiltrarsi nei server Exchange locali delle vittime.
L’attacco avviene da remoto, senza bisogno di credenziali, rendendo i dati privati sfruttabili da chiunque, con la possibilità di essere esposti ad attacchi ransomware.
Decine di migliaia di organizzazioni in tutto il mondo sono già state vittime dell’attacco e si stima che in Italia vi siano oltre 4000 server Exchange vulnerabili. Microsoft ha risolto le vulnerabilità attraverso una patch negli aggiornamenti del 2 marzo, ma questo non basta per ritenersi protetti.
CHI É A RISCHIO?
Sono a rischio i server Microsoft Exchange 2013, 2016 e 2019: tutte le aziende che utilizzano un Server Exchange On-Premise dovrebbero applicare una patch e verificare che all’interno della propria rete non vi siano indicatori di attacco che caratterizzano la presenza di HAFNIUM. L’attacco invece non coinvolge chi utilizza Microsoft Exchange Online.
COME AVVIENE L’ATTACCO?
HAFNIUM entra nel server attraverso la porta 443 nei casi in cui l’accesso sia disponibile e sfrutta quattro vulnerabilità di Microsoft: CVE-2021-26855, CVE-2021-26857, CVE-2021-27065, CVE-2021-27065. Queste vengono usate per ottenere l’accesso da remoto, ricercare credenziali, rubare informazioni sensibili e creare un canale di comunicazione stabile con il server compromesso.
La tecnica utilizzata è l’apertura di una web shell che continua a funzionare finché rimane attiva. Per questo non è sufficiente applicare soltanto una patch.
COME DIFENDERSI?
APPLICARE UNA PATCH e verificare che gli aggiornamenti siano andati a buon fine.In alternativa si può implementare un IIS-write-rule e disabilitare gli UM, ECP e OAB Vdir Services. In questo caso è consigliato eseguire un backup prima di aggiornare. La patch protegge il server dal momento dell’ applicazione, quindi non rimuove i problemi precedenti a quel momento. Per questo è necessario verificare se il proprio server è stato compromesso.
DETERMINARE L’ESPOSIZIONE utilizzando lo script messo a disposizione da Microsoft. Verificare che non vi siano delle web shells malevole, controllando gli Indicatori di Compromissione forniti (IOC).
CERCARE WEB SHELLS O ALTRI FILE SOSPETTI nei file .aspx. Microsoft ha messo a disposizione una lista delle cartelle in cui sono già state trovate delle web shells e una lista dei nomi comuni utilizzati per le web shells.
UTILIZZARE QUERIES EDR per identificare eventuali web shells e avere una panoramica dei file e di eventuali modifiche ad essi. Cercare comandi sospetti dai processi child.
STABILIRE L’IMPATTO dell’attacco facendo valutare la propria esposizione. Nel caso in cui vengano trovate delle anomalie è necessario capire quanto tempo è trascorso tra la comparsa della web shell e l’applicazione della patch.
Il supporto di tecnici è utile per svolgere un’analisi profonda, per verificare se si è stati vittime di un attacco HAFNIUM ed eventualmente neutralizzare l’attacco.
