Secondo un noto esperto di sicurezza, Microsoft ha rilasciato le patch per risolvere le quattro vulnerabilità di Exchange con quasi due mesi di ritardo. In base alle informazioni ricevute dal Wall Street Journal, l’azienda di Redmond potrebbe essere indirettamente responsabile degli attacchi.
Microsoft ha distribuito il codice dell’exploit
In base alla cronologia degli eventi pubblicata da Brian Krebs (confermata anche da ESET), gli attacchi da parte di molti gruppi di cybercriminali sono iniziati prima del rilascio delle patch avvenuto il 2 marzo. Si può quindi escludere il reverse engineering del codice.
Secondo la fonte del WSJ, alcuni dei tool utilizzati nella seconda ondata di attacchi (iniziati presumibilmente il 28 febbraio) erano molto simili al codice del “proof of concept” che Microsoft aveva distribuito agli sviluppatori di antivirus e ad altri partner il 23 febbraio. La condivisione delle informazioni è parte del MAPP (Microsoft Active Protections Program) introdotto nel 2008. Le indagini in corso stabiliranno se uno o più partner hanno consegnato (inavvertitamente o intenzionalmente) ai cybercriminali il codice ricevuto da Microsoft. Non è noto se tra i partecipanti al programma ci sono aziende cinesi.
Un portavoce dell’azienda di Redmond ha dichiarato che non sono stati rilevati indizi su eventuali “leak”. Le informazioni sulle vulnerabilità sono state condivise con partner di lunga data, considerati quindi molto affidabili. Non è da escludere una possibile intrusione dei cybercriminali nei sistemi di una o più aziende che hanno ricevuto il codice da Microsoft. In ogni caso, gli attacchi continuano, quindi è necessario installare con urgenza le patch distribuite il 2 marzo.