Microsoft ha annunciato la scoperta di un attacco 0-day ai danni degli Exchange Server di alcune compagnie USA e di alcune entità istituzionali. Il fine ultimo era chiaramente quello di sottrarre messaggi di posta e informazioni potenzialmente preziose, ma a farsi notare sono soprattutto le modalità con cui il tutto è stato portato a termine.
Exchange, patch in produzione
Microsoft, infatti, esplicita come a monte dell’offensiva vi sia un gruppo denominato Hafnium, entità “state-sponsored” legata alla Cina. I server da cui è partito l’attacco, invece, sono dislocati negli USA. Ad essere colpite sono quattro vulnerabilità mai precedentemente scoperte, dunque con la piena impossibilità di intervenire a monte per evitare questo punto debole. Hafnium era un nome già noto ai ricercatori Microsoft, che da tempo ne seguono le tracce e del quale dimostrano di conoscere natura e precedenti: il nuovo attacco dimostra le capacità di organizzazioni di questo tipo nel dar vita ad offensive di alto profilo e di particolare pericolosità.
Se attaccate contemporaneamente, queste fragilità sui server avrebbero consentito il furto di informazioni sensibile e l’esecuzione di malware, compromettendo le versioni da Exchange 2013 in poi. Gli identificativi dei quattro bug sono i seguenti:
Non è chiaro il tipo di impatto che possa aver avuto questo tipo di attacco, ma Microsoft spiega come al momento sia stato “limitato”. Le patch correttive, inoltre, saranno rapidamente sviluppate e rilasciate secondo tradizionale schema di aggiornamento mensile.