Il 2 marzo 2021, diverse aziende hanno pubblicato alcuni report in merito allo sfruttamento in-the-wild di diverse vulnerabilità zero-day in Microsoft Exchange Server. Queste vulnerabilità permettono di eseguire un codice arbitrario all’interno del contesto di Exchange Server e di dare accesso completo agli account di posta elettronica sul server. Nonostante Microsoft abbia già rilasciato la patch, i ricercatori di Kaspersky stanno assistendo ad un incremento di attacchi che tentano di sfruttare queste vulnerabilità. Le organizzazioni situate in Europa e negli Stati Uniti sono le più colpite.
All’inizio di marzo 2021, Kaspersky ha rilevato attacchi di questo tipo rivolti ad oltre 1200 utenti e ha osservato come questo numero sia in continua crescita. Il numero più alto di utenti presi di mira si trova in Germania con il 26,93%. L’Italia, l’Austria, la Svizzera e gli Stati Uniti sono tra gli altri Paesi maggiormente colpiti.
Numero di utenti attaccati in relazione alle nuove vulnerabilità di Microsoft Exchange Server secondo la telemetria di Kaspersky, marzo 2021:
Paese % utenti
Germania 26.93%
Italia 9.00%
Austria 5.72%
Svizzera 4.81%
Stati Uniti 4.73%
“Fin dall’inizio, ci era chiaro che i tentativi di sfruttare queste vulnerabilità sarebbero aumentati rapidamente ed è quello che stiamo osservando in questi giorni. Fino ad ora abbiamo rilevato questo tipo di attacchi in oltre un centinaio di Paesi situati in ogni parte del mondo. A causa della natura di queste vulnerabilità, numerose organizzazioni sono a rischio. Anche se gli attacchi iniziali miravano a target specifici non c’è motivo di pensare che gli attaccanti non vogliano provare a colpire altre organizzazioni con un server vulnerabile. Questi attacchi sono associati ad un rischio elevato di furto di dati o anche ad attacchi ransomware. Per questo motivo le organizzazioni dovrebbero prevedere misure di protezione nel più breve tempo possibile”, ha commentato Anton Ivanov, VP Threat Research di Kaspersky.
I prodotti di Kaspersky rilevano la minaccia e proteggono dalle vulnerabilità di Microsoft Exchange Server scoperte di recente utilizzando diverse tecnologie, tra cui i componenti Behavior Detection e Exploit Prevention. Kaspersky rileva lo sfruttamento e i relativi artefatti con i seguenti nomi:
• Exploit.Win32.CVE-2021-26857.gen
• HEUR:Exploit.Win32.CVE-2021-26857.a
• HEUR:Trojan.ASP.Webshell.gen
• HEUR:Backdoor.ASP.WebShell.gen
• UDS:DangerousObject.Multi.Generic
• PDM:Exploit.Win32.Generic
È possibile avere maggiori informazioni sugli attacchi che sfruttano le vulnerabilità di Microsoft Exchange Server su Securelist.
Per proteggersi dagli attacchi che sfruttano questa vulnerabilità, Kaspersky raccomanda di:
• Aggiornare Exchange Server il prima possibile.
• Concentrare la strategia di difesa sul rilevamento dei movimenti laterali e sull’esfiltrazione dei dati su Internet. Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici. Eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza.
• Utilizzare soluzioni come Kaspersky Endpoint Detection and Response e il servizio Kaspersky Managed Detection and Response che aiutano a identificare e fermare l’attacco nelle prime fasi, prima che gli attaccanti raggiungano i loro obiettivi.
• Utilizzare una soluzione affidabile per la sicurezza degli endpoint come Kaspersky Endpoint Security for Business dotata di prevenzione degli exploit, behavior detection e remediation engine che consentono di respingere le azioni dannose. Questa soluzione ha anche meccanismi di autodifesa che possono impedire la sua rimozione da parte dei criminali informatici.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 250.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
Contatto di redazione:
Noesis
kaspersky@noesis.net