Non è assolutamente un buon momento per Microsoft Exchange Server. I malintenzionati, che sono sempre pronti ad agire alla prima buona occasione, stanno infatti mettendo in pratica tutta una serie di nuove tattiche per sfruttare le vulnerabilità ProxyShell di Exchange Server che l’azienda di Redmond ha provveduto a patchare a inizio anno e che è stata oggetto di numerosi attacchi durante i mesi scorsi.
Microsoft Exchange Server: i malintenzionati sfruttano le vulnerabilità di ProxyShell
Dalle analisi condotte dai ricercatori di sicurezza di Mandiant, è emerso che gli aggressori avevano sfruttato ProxyShell per eliminare le shell Web su sistemi vulnerabili, in modo differente e più complesso rispetto a quanto fatto con i precedenti attacchi. In alcuni casi, i malintenzionati hanno aggirato completamente le shell Web e hanno creato delle caselle di posta elettronica personali con cui hanno creato ulteriori problemi.
Da notare che ben 30.000 Exchange Server sono tutt’ora vulnerabili a questi attacchi perché non sono stati ancora patchati.
Per chi non ne fosse a conoscenza, ProxyShell è un insieme di tre vulnerabilità in Exchange Server: CVE-2021-34473 che è una vulnerabilità critica per l’esecuzione di codice remoto che non richiede alcuna azione o privilegi dell’utente da sfruttare; CVE-2021-34523 che è un’elevazione post-autenticazione della vulnerabilità relativa ai privilegi; CVE-2021-31207 che è un difetto post-autenticazione di media gravità che offre ai malintenzionati un sistema per ottenere l’accesso amministrativo sui sistemi vulnerabili. Le vulnerabilità sono presenti in più versioni di Exchange Server 2013, 2016 e 2019.
Da notare che Microsoft ha provveduto a far fronte alle vulnerabilità tra aprile e maggio dell’anno corrente, ma non ha assegnato CVE o divulgato le patch fino a luglio.