Nonostante siano disponibili le patch da oltre un mese, molti server Microsoft Exchange rimangono ancora vulnerabili. Per questo motivo, l’FBI ha ricevuto l’autorizzazione per rimuovere le web shell dai sistemi non aggiornati negli Stati Uniti. L’agenzia governativa ha iniziato ad informare gli amministratori dell’operazione di pulizia.
FBI elimina le web shell dai server Exchange
Microsoft ha distribuito all’inizio di marzo le patch per quattro vulnerabilità presenti in Exchange Server e sfruttate da un gruppo di cybercriminali cinesi, noto come Hafnium, per installare web shell e successivamente rubare email e credenziali di accesso. Le stesse vulnerabilità sono state sfruttate per installare cryptominer e ransomware.
Molti server sono ora protetti, ma alcuni rimangono vulnerabili, ad esempio perché gli utenti non hanno le competenze per rimuovere le web shell. Un giudice del Texas ha quindi autorizzato l’FBI ad accedere ai computer negli Stati Uniti per effettuare una copia e successivamente eliminare le web shell e quindi la “porta di ingresso” ai server. Ciò è avvenuto senza preventivamente informare gli utenti. Solo ora infatti l’FBI ha iniziato a contattare gli interessati (via email diretta o tramite ISP).
Il permesso è stato rilasciato il 9 aprile e l’operazione di pulizia continuerà per 14 giorni. Il Dipartimento di Giustizia sottolinea che non sono state installate le patch né rimossi eventuali malware o tool installati dai cybercriminali tramite le web shell. Non risultano simili operazioni effettuate in passato. L’FBI ha quindi “ripulito” computer privati per la prima volta. Al momento non ci sono commenti da parte di Microsoft.