Le vulnerabilità ProxyLogon e ProxyShell di Exchange usate per inviare spam: installiamo le patch - Cyber Security 360

L'ANALISI TECNICA

Le vulnerabilità ProxyLogon e ProxyShell di Exchange usate per inviare spam: installiamo le patch

È disponibile un exploit per lo sfruttamento delle vulnerabilità ProxyLogon e ProxyShell in Microsoft Exchange che consente ad un attaccante remoto di avviare massicce campagna spam aggirando i filtri di controllo dei sistemi di posta elettronica. Ecco tutti i dettagli

4 giorni fa
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

I criminali informatici irrompono nei server Microsoft Exchange sfruttando le vulnerabilità ProxyShell e ProxyLogon per diffondere malware e aggirare il rilevamento dei filtri antispam utilizzando risposte false alle e-mail aziendali interne.

In queste campagne malevole di posta elettronica, il trucco è convincere il destinatario a fidarsi del mittente abbastanza da aprire un allegato decisamente dannoso.

Attacco ai server Microsoft Exchange: tre lezioni (fondamentali) che dobbiamo imparare

L’exploit delle vulnerabilità ProxyLogon e ProxyShell

Gli specialisti della società di sicurezza delle informazioni Trend Micro hanno scoperto e pubblicato un’analisi su un’interessante tattica per l’invio di e-mail dannose da server Microsoft Exchange compromessi e indirizzate ai dipendenti dell’organizzazione attaccata.

WHITEPAPER
Minacce alle infrastrutture: come mettersi in sicurezza? Una guida per gli IT Manager
Sicurezza
Network Security

L’exploit è utilizzato da un noto gruppo di criminal hacker che diffonde e-mail dannose con allegati che infettano i computer con malware quali Qbot, IcedID e SquirrelWaffle.

Per costringere i dipendenti dell’azienda nella quale è in uso la copia di Microsoft Exchange esposta ad aprire un allegato dannoso, prima i criminal hacker entrano nei server Exchange attraverso le vulnerabilità ProxyShell e ProxyLogon, quindi inviano risposte da loro alle e-mail aziendali interne. Queste e-mail di risposta contengono l’allegato dannoso.

Poiché le lettere sono inviate dalla stessa rete interna e rappresentano una continuazione di una corrispondenza già in corso tra due dipendenti, non destano alcun sospetto tra i destinatari. Inoltre, queste e-mail non sollevano alcun sospetto nemmeno tra i sistemi di protezione automatica delle e-mail, come i filtri antispam.

L’allegato dannoso è un documento di Microsoft Excel nel quale il destinatario deve “attivare il contenuto” per visualizzarlo. Tuttavia, dopo l’attivazione del contenuto, vengono eseguite macro dannose che scaricano sul sistema target e installano i malware ai quali accennavamo prima.

Secondo il rapporto di Trend Micro, questa campagna dannosa diffonde il downloader SquirrelWaffle, che installa il malware Qbot sul sistema. Tuttavia, un ricercatore di Cryptolaemus sotto lo pseudonimo di TheAnalyst afferma su Twitter che non è SquirrelWaffle a scaricare Qbot, ma lo stesso documento dannoso scarica entrambi i programmi separatamente.

Microsoft ha corretto le vulnerabilità di ProxyLogon a marzo 2021 e ProxyShell ad aprile e maggio. I criminali informatici le hanno sfruttate per distribuire ransomware o installare shell web per il successivo accesso ai server. Nel caso di ProxyLogon, le cose sono andate così male che l’FBI ha persino dovuto rimuovere le web shell dai server Microsoft Exchange compromessi negli Stati Uniti senza alcun preavviso agli utenti.

Viene da se ricordare che l’importanza negli aggiornamenti in questo caso può davvero fare la differenza sulla nostra infrastruttura.

Babuk, il ransomware sfrutta vulnerabilità note di Exchange per diffondersi: come difendersi

Attenti a un’altra vulnerabilità, per fortuna già corretta

Si evidenzia anche una terza vulnerabilità (CVE-2021-42321), resa nota il 9 novembre e corretta in occasione del Patch Tuesday dello stesso mese che interessa le installazioni locali di Exchange Server 2016 ed Exchange Server 2019.

L’aggiornamento, in questo caso, riguarda il fatto che ora è disponibile un exploit PoC per tale vulnerabilità zero-day recentemente corretta nei server Microsoft Exchange.

Lo sfruttamento della vulnerabilità quando arriva a buon fine consente a un utente malintenzionato autorizzato di eseguire codice in remoto su server Exchange vulnerabili.

Domenica 21 novembre, due settimane dopo il rilascio della correzione per CVE-2021-42321, un ricercatore con lo pseudonimo Janggggg ha pubblicato un exploit PoC di questa vulnerabilità.

“Questo exploit PoC richiama mspaint.exe sul sistema di destinazione e può essere utilizzato per riconoscere la firma di un attacco riuscito”, ha affermato Janggggg.

“Siamo a conoscenza di attacchi mirati limitati che utilizzano una delle vulnerabilità (CVE-2021-42321), che è una vulnerabilità post-autenticazione in Exchange 2016 e 2019”, ha affermato Microsoft, aggiungendo che gli amministratori di sistema devono applicare le patch disponibili il prima possibile.

Aggiornamenti di sicurezza Microsoft, corretti due zero-day in Exchange server ed Excel: i dettagli

Come mitigare i rischi

Agli amministratori di rete consigliamo di verificare subito se gli eventuali server Exchange ancora vulnerabili sono stati attaccati tramite la vulnerabilità CVE-2021-42321: per fare questo è sufficiente digitare alcune semplici istruzioni PowerShell sul server e leggerne l’output:

Get-EventLog -LogName Applicazione -Source “MSExchange Common” -EntryType Error | Where-Object { $_.Message -like “*BinaryFormatter.Deserialize*” }

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 5