Microsoft ha rilasciato la scorsa settimana varie patch “out-of-band” per risolvere quattro vulnerabilità zero-day sfruttate per eseguire diversi attacchi contro Exchange Server. Si scopre ora che il problema di sicurezza era stato segnalato all’inizio di gennaio, quindi l’azienda di Redmond ha impiegato quasi due mesi per correggere i bug.
Bug Exchange Server: patch in ritardo
In base alla cronologia pubblicata da Brian Krebs, la prima segnalazione è stata fatta il 5 gennaio dalla società di sicurezza DEVCORE. Altre segnalazioni sono arrivate nei giorni successivi da Volexity, Dubex e Trend Micro. Microsoft ha comunicato a DEVCORE che le patch sarebbero state distribuite il 9 marzo (Patch Tuesday), ma l’azienda ha deciso di anticipare il rilascio di una settimana perché diversi gruppi di cybercriminali (non solo i cinesi di Hafnium) hanno sfruttato le vulnerabilità per installare backdoor in Exchange Server.
Nel comunicato pubblicato sul blog ufficiale, Microsoft scrive che gli exploit zero-day sono stati usati per eseguire un numero limitato di attacchi. In realtà ci sono oltre 60.000 vittime in tutto il mondo (il doppio rispetto a quanto rilevato pochi giorni fa). Una di esse è la European Banking Authority (EBA) che ha confermato l’accesso alle email conservate sui server.
Microsoft ha aggiornato il post originario, specificando che sono stati individuati attacchi da altri gruppi di cybercriminali (almeno quattro secondo le fonti di MIT Technology Review). Gli exploit consentono di installare web shell che vengono utilizzate per rubare dati, caricare file ed eseguire comandi da remoto.
L’azienda di Redmond ha aggiornato Microsoft Defender, Azure Sentinel e il tool Microsoft Safety Scanner per rilevare e rimuovere le web shell (backdoor). Le patch sono state distribuite anche per Exchange Server 2010, quindi le vulnerabilità erano presenti da oltre dieci anni. Il governo statunitense avrebbe pianificato una risposta agli attacchi eseguiti per contro della Cina e della Russia (SolarWinds).