Sean Deuby | Tecnologo principale

Si ritiene che gli attacchi ai server Microsoft Exchange di tutto il mondo da parte del gruppo di minacce Hafnium, sponsorizzato dallo Stato cinese, abbiano colpito oltre 21.000 organizzazioni. L'impatto di questi attacchi sta crescendo, poiché le quattro vulnerabilità zero-day vengono sfruttate da nuovi attori delle minacce.

Mentre il mondo è stato introdotto a queste vulnerabilità critiche il2 marzo, quando Microsoft ha rilasciato gli aggiornamenti di sicurezza e le indicazioni per la mitigazione, il primo sfruttamento noto di questa vulnerabilità è avvenuto all'inizio di gennaio. Sebbene l'applicazione degli aggiornamenti consigliati da Microsoft protegga le organizzazioni dallo sfruttamento continuo o futuro di queste vulnerabilità note, non attenua le compromissioni già avvenute. Inoltre, poiché queste vulnerabilità di Exchange sono esposte a Internet, i criminali informatici continuano a cercare voracemente sistemi senza patch da attaccare su scala senza precedenti.

Recentemente ho avuto l'opportunità di parlare con Alan Sugano, presidente di ADS Consulting Group, degli attacchi Hafnium per un episodio dell'HIP Podcast. Grazie al suo lavoro con ADS Consulting Group, un'organizzazione di supporto per molte piccole e medie imprese con una profonda conoscenza di Microsoft Exchange, Alan è intimamente coinvolto nelle attività di patching e mitigazione relative agli attacchi Hafnium. Quando ho parlato con Alan, abbiamo discusso di cosa siano esattamente gli attacchi Hafnium e di come forniscano accesso non autorizzato a sistemi critici come Active Directory (AD), nonché di indicazioni praticabili su come le aziende possono difendersi da questi attacchi.

Come funzionano gli attacchi di afnio?

Gli attacchi Hafnium sono in gran parte attacchi automatizzati che cercano server Exchange privi di patch sulla base delle informazioni attualmente disponibili. Sfruttando quattro vulnerabilità zero-day, gli aggressori sono in grado di effettuare ricerche remote di server Exchange esposti a Internet per accedere a qualsiasi server Exchange tramite Outlook Web Access (OWA). Creano quindi una shell web per controllare il server compromesso da remoto per rubare i dati dell'organizzazione e ottenere l'accesso non autorizzato a sistemi critici come AD. Prendendo di mira AD, i criminali informatici possono elevare i privilegi e spostarsi lateralmente verso altri sistemi e ambienti.

Come può un'organizzazione confermare se è stata violata?

Uno dei principali indicatori di compromissione (IOC) è la presenza di un file ASPX che non sembra essere presente. Le organizzazioni possono cercare questi file web shell controllando il percorso C:inetpubwwwrootaspnet_clientsystem_web. Microsoft ha anche rilasciato vari script PowerShell per le organizzazioni per eseguire un controllo degli IOC Hafnium in diverse cartelle, oltre a quali nomi di file cercare.

Una volta che il file ASPX è presente, non importa se un'organizzazione ha applicato le patch al proprio server. Se il file ASPX è presente, significa che la web shell è già stata installata e che un aggressore ha accesso ai sistemi vulnerabili.

Quali sono le misure che le organizzazioni devono adottare per verificare se sono state compromesse?

Le organizzazioni possono essere colpite da più varianti di Hafnium ed è possibile che siano già state create nuove varianti che fanno apparire la web shell in una cartella diversa non elencata negli script PowerShell di Microsoft. Per questo motivo, la procedura consigliata è quella di scaricare Microsoft Safety Scanner. Questo programma esegue una scansione completa del server Exchange di un'organizzazione e individua le web shell che il software antivirus commerciale non è in grado di rilevare. Affidarsi a un software antivirus tradizionale non farà altro che dare alla vostra organizzazione un falso senso di sicurezza, lasciandola vulnerabile.

È importante notare che durante la scansione vera e propria, Microsoft Safety Scanner può rilevare "file infetti". Sembra spaventoso, ma potrebbe trattarsi solo di una porzione di file che corrisponde a uno dei modelli ricercati dallo scanner. Per sapere con certezza se la vostra organizzazione è stata compromessa o meno, dovrete esaminare i risultati completi al termine della scansione dell'indice. Sebbene Safety Scanner elimini automaticamente tutti i file infetti, è consigliabile eseguire nuovamente la scansione completa dopo il riavvio di Exchange Server per assicurarsi che non vi siano file mancanti.

Quali sono le misure di rimedio che un'organizzazione compromessa deve adottare?

Se Microsoft Security Scanner trova una shell Web, l'organizzazione deve anche controllare ScheduledTasks per assicurarsi che non vi siano attività pianificate che eseguono VSPerfMon, che apre backdoor che mantengono l'accesso persistente ai server Exchange compromessi. A tal fine, aprire un prompt dei comandi su Exchange Server ed eseguire Schtasks.exe. Un'altra potenziale backdoor è la presenza di una chiave di percorso dell'immagine di un browser Opera, che gli aggressori utilizzano come metodo per lanciare un trojan di accesso remoto per consentire il controllo amministrativo. Prima di rimuovere qualsiasi backdoor, le aziende dovranno bloccare l'accesso a OWA per evitare che gli aggressori inseriscano un'altra backdoor durante il processo di bonifica.

Inoltre, qualsiasi incursione nella rete di un'organizzazione porta inevitabilmente all'AD, perché in questo modo gli aggressori hanno accesso alle credenziali privilegiate. Ciò significa che se AD è compromesso, l'intero ambiente di un'organizzazione è compromesso. La scansione dei sistemi alla ricerca di IOC e IOE (indicatori di esposizione) è un passo fondamentale per rafforzare la sicurezza di AD. Una cosa che può aiutare e che consiglio vivamente ai professionisti della sicurezza di sfruttare è Purple Knightuno strumento di valutazione della sicurezza gratuito che è stato progettato per scansionare AD per 59 diversi IOE e IOC in pochi secondi. Semperis ha inoltre recentemente migliorato Directory Services Protector (DSP) v3.5, che consente alle organizzazioni di monitorare continuamente l'AD alla ricerca di indicatori di sicurezza pre- e post-attacco e di scoprire vulnerabilità pericolose.

Infine, è importante che i team di sicurezza si sforzino di rimanere aggiornati sulle novità relative ad Hafnium ed Exchange Server, in particolare sulle nuove scoperte relative alle vulnerabilità. Il blog TRUESEC e il blog Huntress sono ottime fonti di informazioni.

L'accesso che si può ottenere sfruttando le vulnerabilità è significativo. Agendo rapidamente per rimuovere le web shell e qualsiasi altra backdoor, le organizzazioni possono potenzialmente salvaguardare i propri dati prima che gli aggressori abbiano la possibilità di iniziare l'estrazione dei dati dai server compromessi.

-

Ascoltate la conversazione completa sugli attacchi di afnio con Sean Deuby, direttore dei servizi di Semperis, e Alan Sugano, presidente di ADS Consulting Group, nell'ultimo episodio dell'HIP Podcast.