Come probabilmente ormai tutti avranno sentito, Microsoft ha rilasciato aggiornamenti di sicurezza di emergenza il 2 marzo 2021 per Microsoft Exchange. Questi aggiornamenti hanno risolto quattro vulnerabilità zero-day che venivano sfruttate come parte di una campagna di attacco che è stata attribuita ad Hafnium , un attore di Advanced Persistent Threat (APT) sostenuto da uno stato nazionale.
Cos’è successo
Sfruttando le vulnerabilità di seguito, gli attori delle minacce sono in grado di eseguire un attacco denominato ProxyLogon che consente la pre-autenticazione dell’esecuzione di codice in modalità remota (RCE) su qualsiasi Exchange Server 2013, 2016 o 2019, e tutto ciò che serve è che la porta 443 sia aperta:
- CVE-2021-26855 : falsificazione di richieste lato server (SSRF) che consentiva l’autenticazione di richieste HTTP arbitrarie
- CVE-2021-26857 – vulnerabilità di deserializzazione non sicura che consente agli aggressori di eseguire codice come SYSTEM
- CVE-2021-26858 – scrittura arbitraria di file post-autenticazione, consente agli aggressori di scrivere file in qualsiasi percorso sul server
- CVE-2021-27065 : scrittura arbitraria di file dopo l’autenticazione, consente agli aggressori di scrivere file su qualsiasi percorso una volta autenticati, sfruttando CVE-2021-26855 o credenziali di amministratore valide
Ciò che si ottiene è la capacità di un utente malintenzionato non solo di esfiltrare dati, come le e-mail, ma anche di impostare la persistenza nell’ambiente e iniziare a fare movimenti laterali per compromettere ulteriormente l’ambiente.
Come puoi rispondere
La maggior parte degli incidenti di sicurezza richiede di rispondere con una serie di azioni comuni. Questo in genere si riduce a (in termini più semplici) identificazione, riparazione, mitigazione e ripresa delle normali attività. Può esserci un numero qualsiasi di suddivisioni o una ricategorizzazione di queste azioni, ma queste sono le basi. La prima parte di questa risposta globale agli incidenti è già stata fatta per te. La minaccia è stata individuata, ora è il momento di agire.
Patch
Questa è una di quelle rare situazioni “all-hands-on deck”. Indipendentemente da come lo raggiungi, il tuo primo passo dovrebbe essere l’applicazione degli aggiornamenti di sicurezza di Microsoft per affrontare queste vulnerabilità poiché è il passaggio più semplice e ti aiuta a evitare di essere compromesso da queste vulnerabilità se non sei già stato attaccato. Se, per qualsiasi motivo, gli aggiornamenti non possono essere applicati ai sistemi esposti, sono disponibili mitigazioni alternative da Microsoft.
Fortunatamente per i nostri partner che utilizzano SolarWinds MM o N-central ® e hanno la gestione delle patch abilitata, dovrebbe essere facile approvare, implementare e verificare che gli aggiornamenti siano installati. Se è necessario applicare manualmente le patch per qualsiasi motivo, occorre seguire le indicazioni di Microsoft.
Le patch vengono applicate, cosa succederà?
L’applicazione degli aggiornamenti da sola non è sufficiente, questo è solo un passaggio di mitigazione che aiuta a proteggere un sistema dagli attacchi tramite queste vulnerabilità. È ancora necessario determinare se un sistema è stato compromesso da questo attacco. Per questo, dovrai sapere quali sono gli indicatori di compromesso (IoC) per questo attacco. Il Microsoft Intelligence Center (MSTIC) li ha forniti qui se desideri cercare manualmente gli IoC o automatizzare la tua soluzione.
Per risparmiarti qualche problema, abbiamo preparato un controllo 24×7 per RMM e un monitor di servizio per N-central che possono essere utilizzati per verificare uno degli indicatori primari relativi alla compromissione iniziale di un sistema utilizzando la vulnerabilità CVE-2021-26855. Sebbene ciò possa aiutarti a far ripartire i tuoi sforzi, dovrai comunque eseguire un’ulteriore valutazione dei tuoi server Exchange per verificare che non siano stati compromessi.
Puoi scaricare gli script qui:
CVE-2021-26855 IOC per N-Central
Microsoft ha anche aggiornato il suo Microsoft Security Scanner (MSERT) con nuove firme per identificare le web shell associate a ProxyLogon. Dato quanto è semplice da usare, sarebbe una buona idea eseguirlo anche su tutti i sistemi sospetti.
Sono stati trovati indicatori di compromesso. E adesso cosa occorre fare?
Poiché questo attacco consente agli attori della minaccia di ottenere un punto d’appoggio persistente in un ambiente, un presupposto sicuro su cui operare è che gli aggressori lo abbiano fatto se si trovano IoC.
Isolare l’Exchange Server interessato e seguire le indicazioni fornite da Microsoft qui .
Potrebbe essere necessario e una buona idea coinvolgere un team esterno di risposta agli incidenti per assistere a questo punto, poiché lo sfratto di un attaccante che ha già accesso può rivelarsi difficile per coloro che non hanno le competenze necessarie per trattare con i gruppi APT.
FONTE: SolarWinds MSP BLOG – BY Lewis Pope – Head RMM Nerd per SolarWinds MSP.
TRADUZIONE E ADATTAMENTO: N4B SRL – Distributore Autorizzato SolarWinds MSP