La settimana scorsa è esploso il caso Exchange Server, in un modo così grave da mettere in subbuglio tutta Microsoft tanto da bombardare i propri client, e partner, nello spiegare il problema ma soprattutto nell’incoraggiare un patching d’emergenza.
Ma cos’è successo realmente? Come mai tutto questo trambusto?
Ad inizio anno sono iniziati degli attacchi sui server di posta basati su Exchange Server 2010, 2013, 2016 e 2019. Questi attacchi sono stati portati da utenti/aziende criminali, inviando grandi volumi di dati sui server che esponevano direttamente Outlook Web Access (OWA) verso l’esterno. La vulnerabilità (CVE-2021-26855), riconosciuta come una multiple 0-day, consente di recuperare l’intero contenuto della mailbox dei vari utenti senza nessun tipo di autenticazione; per l’attaccante è necessario sapere solo l’account a cui rubare le informazioni. Dopo alcune analisi, fatte da aziende di sicurezza, è emerso che gli hacker hanno modificato la Server-Side Request Forgery (SSRF) per eseguire un Remote Code Execution (RCE) sui server Exchange; come se non bastasse, una volta attaccata la macchina, gli hacker hanno iniziato a crearsi delle backdoor tramite delle webshell in aspx, per effettuare il dump delle credenziali Active Directory – cosa che porta ad effettuare degli attacchi orizzontali (es. accedere ai documenti).
Attacco da Dove e Come?
Dietro questo attaccato ci sarebbe un gruppo di utenti chiamato HAFNIUM, sponsorizzato dalla Cina e con base proprio nella stessa nazione. L’exploit ha comportato l’invio di richieste POST a risorse statiche che non richiedono l’autenticazione, tra cui /owa/auth/Current/themes/resources/. Gli scenari di attacco sono due:
- Standalone: per attaccare la mailbox è necessario conoscere il SID dell’utente in questione, cosa che rende la vita più complicata per chi vuole prelevare i dati, essendo questo un valore non facile da individuare e generato in modo randomico
- Cluster (DAG): in questo caso è necessario conoscere solo l’indirizzo mail dell’utente in questione
Inoltre, per effettuare l’attacco è necessario sapere il nome esteso del server (FQDN) ma anche in questo caso non è un grande problema, perchè basta inviare una chiamata HTTP POST al servizio Exchange Web Services per ottenere questa informazione.
Patch
Il Security Update è disponibile al seguente articolo – Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: March 2, 2021 (KB5000871)
Come Difendersi?
La prima cosa da fare è installare la patch rilasciata da Microsoft ed è curioso/confortante che si sia scelto di fixare anche Exchange Server 2010 che ormai fuori supporto.
Tuttavia ci sono diversi metodi di difesa per provare a mitigare gli attacchi di questo genere. Il primo è sicuramente quello di avere un Web Application Filter o un Firewall capace di analizzare le connessioni e di bloccarle in modo preventivo; nel caso non abbiate un sistema del genere, potete creare una black list con questi indirizzi IP pubblici, che sono risultati tra quelli più “noti” nelle fasi di attacco:
103.77.192.219
104.140.114.110
104.250.191.110
108.61.246.56
149.28.14.163
157.230.221.198
167.99.168.251
185.250.151.72
192.81.208.169
203.160.69.66
211.56.98.146
5.254.43.18
80.92.205.81
Un altro strumento fondamentale è una piattaforma di SIEM come Azure Sentinel che, assieme a Microsoft Defender for Endpoint, permette di analizzare in tempo reale i comportamenti anomali su servizi e processi, oltre che attuare politiche di prevenzione ed auto-remediation.
Office 365 e Cloud
Come si pone Office 365 in tutto questo? A quanto pare non ci sono riscontri ufficiali/ufficiosi che hanno rilevato problemi di sicurezza sulla piattaforma cloud, che basa il tutto sullo stesso motore. Probabilmente la cosa è figlia del fatto che i server non vengono esposti direttamente e che il ciclo di manutenzione/aggiornamento fatto da Microsoft è molto più evoluto rispetto alle versioni On-Premises.
Exchange Server 2016 a Fine Supporto
Nel mentre, Microsoft ha deciso di estendere l’End of Mainstream Support per Exchange Server 2016 da ottobre 2010 al 15 giugno 2021 con relativo rilascio di una prossima Cumulative Update 21 che sarà l’unica supportata in caso di aperture al servizio tecnico; ma questo non è tutto perchè durante il periodo di Extended Support, solo l’ultima CU verrà supportata con un tempo di transizione di 3 mesi (quindi al rilascio della CU23 avrete 3 mesi per fare l’installazione per avere supporto)
Maggiori informazioni potete trovarle al seguente articolo – Exchange Server 2016 and the End of Mainstream Support – Microsoft Tech Community
Deep Dive
Se volete capire il procedimento dell’attacco, fate riferimento al seguente articolo – HAFNIUM targeting Exchange Servers with 0-day exploits – Microsoft Security