Secondo Trend Micro potrebbero essere 30.000 le organizzazioni USA che hanno subito un attacco hacker a Microsoft Exchange Server, mentre a livello globale il numero potrebbe essere molto più elevato.
Infatti l’ultimo controllo di Shodan ha rivelato ben 63.000 server simili potenzialmente esposti a questi exploit.
Stando a quanto dichiarato da Trend Micro, le campagne di cyberspionaggio raramente in passato hanno raggiunto dimensioni simili a quelle dell’attuale attacco a Microsoft Exchange Server.
Microsoft ha già rilasciato le patch per aggiornare e proteggere i server, ma questi potrebbero in realtà già essere stati attaccati. Secondo la società in particolare sarebbero 4 le vulnerabilità, sfruttate da un gruppo hacker legato alla Cina.
L’applicazione immediata delle patch deve essere considerata una priorità assoluta per i possessori ed i gestori di questi server e, ove non fosse possibile applicarle, è necessario disconnettere tutti i server vulnerabili. Al momento chiunque abbia un server Microsoft Exchange deve investigare per verificare se vi siano segni di compromissione.
L’attacco hacker a Microsoft Exchange Server
In realtà i primi attacchi risalgono addirittura al 6 gennaio, quando è stato rilevato un nuovo gruppo di minacce chiamato “Hafnium” che sfruttava 4 bug zero-day all’interno di Microsoft Exchange Server, e che poteva essere sfruttato per eseguire codici, scrivere file, rubare dati ed eseguire ulteriori azioni dannose, come ad esempio la distribuzione di ransomware.
La portata di questa campagna risulta essere molto vasta, e sono molte le istituzioni già in allerta, a partire dalla Casa Bianca e dalla Cybersecurity and Infrastructure Security Agency americana (CISA).
Per scoprire se il proprio Microsoft Exchange Server è stato colpito da questo attacco è necessario scansionare i log di Exchange Server con l’apposito strumento di rilevamento di Microsoft, ed effettuare una ricerca manuale con software come con Trend Micro Vision One per verificare gli indicatori di compromissione associati a questa campagna.
Se viene rilevata qualche compromissione bisogna attivare un piano di incident response.
Il team di Trend Micro consiglia di non utilizzare nessuna macchina prima di aver effettuato la scansione per accertare gli indicatori di compromissione.
