Il 2 marzo, Microsoft ha rivelato di aver subito un’offensiva critica lanciata da un gruppo di criminal hacker contro organizzazioni (pubbliche e private) degli Stati Uniti e attribuito gli attacchi all’Apt (Advanced Persistent Threat – ad indicare gruppi hacker criminali di particolare rilevanza e pericolosità) cinese chiamato Hafnium.
È stata rapidamente annunciata la messa a disposizione di patch per le 4 vulnerabilità (note) sfruttate dagli aggressori per violare i server di Microsoft Exchange. Secondo i report pubblicati, sarebbero almeno 30mila i server non protetti violati dai threat actor. Tale minaccia ha immediatamente innescato la levata di scudi da parte di Microsoft che ha considerato questo attacco come una vera e propria offensiva all’infrastruttura IT del governo (e più in generale dell’apparato pubblico) a stelle e strisce.
La timeline d’attacco
La sequenza di eventi che ha portato al culmine dell’offensiva ci dimostra quanto sia preoccupante tale escalation.
- 3 gennaio: le prime vulnerabilità vengono sfruttate dagli aggressori, secondo i ricercatori di Volexity.
- 2 marzo: Microsoft annuncia l’attacco e rilascia le patch.
- 3 marzo: la Cisa (Cybersecurity and Infrastructure Security Agency) pubblica una direttiva emergenziale che ordina a tutte le agenzie federali di disconnettere tutti i software e prodotti Microsoft Exchange on-premise ovvero utilizzati con installazione sul dispositivo e fare rapporto sul proprio status entro il 5 marzo.
- 6 marzo: Microsoft rilascia un nuovo aggiornamento del suo Microsoft Safety Scanner (o Microsoft Support Emergency Response Tool, Msert), uno strumento utile per scansionare i sistemi alla ricerca delle web shell rilasciate negli ultimi attacchi.
- 8 marzo: Cisa pubblica un articolo su una pagina Web in cui sono elencati i rimedi alle vulnerabilità sfruttate, consigliando “con forza” a tutte le organizzazioni di prendere i giusti provvedimenti immediatamente.
- 10 marzo: viene pubblicato un proof of concept dell’attacco ai server Exchange, tramite il quale si forniscono istruzioni dettagliate d’attacco d’interesse per altri gruppi cybercriminali.
Le patch non bastano
Alla luce delle tempistiche, risulta ancora più chiaro come la pubblicazione delle patch possa non essere sufficiente, dato che, pur installando le contromisure di sicurezza, non v’è alcuna certezza che i sistemi non siano già stati compromessi.
Considerando il numero totale di server coinvolti, è quindi chiaro che questa offensiva sia destinata a incidere profondamente sull’attività operativa del settore governativo e industriale (probabilmente l’effetto è già visibile). Da un lato, la quasi contemporaneità dell’attacco con l’offensiva SolarWinds non fa altro che aggravare la situazione dei team di sicurezza di diversi enti governativi e non.
I professionisti di cybersecurity si trovano a dover affrontare scenari sempre più complessi, con rischi crescenti di cadere vittima di attacchi con ransomware, affiancati dall’inaffidabilità di software esterni considerati un tempo inviolabili.
A questo si aggiunge una difficoltà oggettiva nell’applicazione delle contromisure. A questo punto, molte organizzazioni coinvolte sono già state vittima di uno o più attacchi che hanno rilasciato una Web shell nei propri server Exchange. Nulla vieta però che gli aggressori non abbiano effettivamente avuto accesso alla Web shell e che i danni siano pertanto limitati. Tale circostanza è però eventuale, dato che è necessario valutare di volta in volta la gravità della situazione. Non va poi dimenticato che alla “festa” si sono aggiunti anche altri gruppi criminali, che hanno effettuato l’accesso attraverso un’altra backdoor rispetto ai primi aggressori.
Quale approccio utilizzare
Sebbene l’impatto per le aziende italiane sia realisticamente ridotto, salvo alcune eccezioni di enti o società strettamente legate alla realtà statunitense, è bene seguire queste linee guida per risolvere la questione creando il minor numero di problemi.
Per iniziare, ogni organizzazione che fa uso di un server Exchange dovrebbe immediatamente scaricare e installare le patch rese disponibili da Microsoft, anche se tale patching dovesse risultare particolarmente oneroso all’interno del workflow aziendale. Se è facile dire alle organizzazioni di installare le patch, in particolar modo se la versione utilizzata non è proprio la ultimissima di Exchange, potrebbe non trattarsi necessariamente di una procedura semplice.
Fortunatamente Microsoft ha fornito una chiara “mitigation guidance” per le organizzazioni che non possono installare le patch (per varie ragioni).
Ciononostante, l’applicazione delle patch dovrebbe essere la priorità assoluta. Più a lungo un server non protetto rimane connesso alla rete, maggiore sarà il rischio che questo venga violato da qualche malintenzionato.
Oltre all’installazione delle patch, è bene mettersi alla ricerca di possibili backdoor all’interno dei server non protetti. Consigliamo inoltre la creazione di copie di eventuali backdoor trovate, prima di eliminarle, per effettuare un’attenta valutazione ex post. Tali backdoor saranno inoltre la prova dell’avvenuta violazione: invece che staccare del tutto una macchina virtuale ed eliminarla, è consigliabile salvare una copia del sistema compromesso.
A fronte di tale offensiva, è ancora più evidente come molte organizzazioni non siano pronte a reagire a situazioni del genere. Investire in personale qualificato è la base per evitare rimpianti futuri. Non abbassiamo la guardia!
© RIPRODUZIONE RISERVATA