Nonostante un discutibile ritardo, Microsoft ha rilasciato le patch che correggono le quattro vulnerabilità (note come ProxyLogon) di Exchange Server, ma i pericoli non sono terminati. Alcuni malintenzionati hanno infatti sfruttato i bug per installare il ransomware DearCry. Nel frattempo, l’azienda di Redmond ha rimosso da GitHub un tool che consentiva di eseguire attacchi contro i server Exchange.
Exchange ProxyLogon: attacco ransomware
DearCry è stato scoperto da Michael Gillespie, il creatore del sito ID Ransomware che permette di identificare il ransomware attraverso la richiesta di riscatto o un file cifrato. Molti utenti hanno iniziato a caricare i file dal 9 marzo. Gillespie ha quindi rilevato che quasi tutti erano stati inviati da server Microsoft Exchange.
Un Security Program Manager di Microsoft ha confermato che il ransomware DearCry è stato installato sui server non aggiornati.
Microsoft observed a new family of human operated ransomware attack customers – detected as Ransom:Win32/DoejoCrypt.A. Human operated ransomware attacks are utilizing the Microsoft Exchange vulnerabilities to exploit customers. #DearCry @MsftSecIntel
— Phillip Misner (@phillip_misner) March 12, 2021
L’azienda di Redmond ha nuovamente consigliato agli utenti di installare al più presto le patch rilasciate all’inizio del mese.
Microsoft Defender customers utilizing automatic updates do not need to take additional action to receive these protections. On-premises Exchange Server customers should prioritize the security updates outlined here: https://t.co/DL1XWnitYO
— Microsoft Threat Intelligence (@MsftSecIntel) March 12, 2021
DearCry cifra i file presenti sul computer (aggiungendo l’estensione .crypt) con le crittografie AES a 256 bit e RSA a 2048 bit. Per accedere nuovamente ai file deve essere contattato l’autore del ransomware tramite email. Ad almeno una delle vittime è stato chiesto un riscatto di 16.000 dollari.
In base ad una ricerca di ESET, attualmente ci sono almeno 10 gruppi di cybercriminali che hanno sfruttato le quattro vulnerabilità di Exchange Server. Secondo Palo Alto Networks ci sono oltre 125.000 server ancora vulnerabili in tutto il mondo.
Questo è sicuramente il motivo per cui Microsoft ha rimosso da GitHub il codice di un tool “proof-of-concept” che consente di eseguire attacchi, sfruttando due delle quattro vulnerabilità. L’autore (un ricercatore di sicurezza vietnamita) ha spiegato che voleva solo informare gli utenti. Alcuni colleghi hanno criticato la decisione di Microsoft, parlando di censura. Altri invece appoggiano la scelta perché il tool era troppo pericoloso.
https://twitter.com/MalwareTechBlog/status/1370098050186706950
Questa è la risposta ufficiale di Microsoft:
Comprendiamo che la pubblicazione e la distribuzione del codice dell’exploit proof of concept ha un valore educativo e di ricerca per la comunità e il nostro obiettivo è bilanciare tale vantaggio con il mantenimento della sicurezza dell’ecosistema. In base alle nostre Acceptable Use Policies abbiamo disabilitato il gist in seguito ai report che segnalavano la presenza del codice per sfruttare una vulnerabilità divulgata di recente.
Ti potrebbe interessare
12 mar 2021