Nonostante le patch rilasciate all’inizio del mese per correggere le quattro vulnerabilità di Exchange Server, il numero di attacchi continua ad aumentare (gli exploit ProxyLogon sono stati anche sfruttati da ransomware e cryptominer). Per questo motivo Microsoft ha nuovamente invitato i clienti ad installare gli aggiornamenti.
Exchange Server: troppi sistemi vulnerabili
Microsoft spiega che il primo attacco è stato effettuato dal gruppo Hafnium vicino al governo cinese. Le vulnerabilità sono state successivamente sfruttate da altri gruppi (secondo ESET sono almeno dieci) e per installare il ransomware DearCry.
Considerata la gravità del problema, Microsoft ha rilasciato aggiornamenti anche per le versioni di Exchange non più supportate, quindi le aziende devono procedere urgentemente all’installazione delle patch, seguendo le indicazioni pubblicate sul sito dedicato. È inoltre necessario identificare e rimuovere dalla rete i sistemi compromessi, utilizzando i tool forniti da Microsoft.
In base ai dati della telemetria, al 9 marzo c’erano oltre 100.000 server ancora vulnerabili. Il numero è successivamente diminuito a circa 82.000. Secondo gli esperti di Palo Alto Networks, il numero iniziale era più alto (circa 125.000). Sembra quindi evidente che l’installazione delle patch prosegue a rilento.
Ciò spiega perché gli attacchi contro Exchange non sono terminati. Uno dei più recenti è stato eseguito dai gestori della botnet Lemon_Duck. Le vulnerabilità ProxyLogon sono state sfruttate per installare un cryptominer per monete Monero sui server non aggiornati. Lemon_Duck è uno dei cryptominer più avanzati in assoluto, in quanto è residente in memoria e non lascia tracce nel file system, per cui è difficile da rilevare ed eliminare.