mercoledì 14 aprile 2021

Microsoft Exchange Server: mentre l'NSA scopre nuove vulnerabilità critiche l'FBI rimuove le web shell dai server compromessi senza avvisare i proprietari

Della vicenda che ha riguardato i server Microsoft Exchange abbiamo già parlato qui: il 2 Marzo Microsoft ha rilasciato aggiornamenti di sicurezza per una serie di vulnerabilità, dette complessivamente Proxylogon, che sono state usate attivamente per un'ondata di attacchi che si è svolta tra Gennaio e Febbraio e che era finalizzata ad installare web shell sui server Exchange compromessi. Queste web shell hanno fornito e tutt'ora forniscono accesso da remoto agli attaccanti, che le utilizzano per esfiltrare email e credenziali degli account. 

Nel corso di queste settimane, data la criticità delle falle ma anche "il peso" delle vittime coinvolte da questa scia di attacchi, agenzie governative e la stessa Microsoft hanno pubblicato una varietà di script e tool per aiutare le vittime a stabilire se i propri server siano o meno compromessi. Anche perchè, nel frattempo, le stesse vulnerabilità hanno iniziato ad essere sfruttate anche da parte di altri attori per diffondere ransomware, cryptominer e ulteriori web shell. 

Insomma le vulnerabilità sono state patchate, ma restano ancora moltissimi server vulnerabili o già violati e i cui proprietari ancora non hanno preso contromisure. Così, in un comunicato stampa del Dipartimento della Giustizia, l'FBI ha fatto sapere di aver ricevuto l'autorizzazione ad accedere ai server Exchange ancora compromessi, copiare la web shell come prova e rimuoverla quindi dal server. La scelta di intervenire direttamente, situazione che non ha precedenti, è stata giustificata dall'FBI dalla "incapacità tecnica dei proprietari di rimuovere in autonomia le web shell, dovuta anche ad una scarsa consapevolezza dei rischi derivanti". La decisione invece di non avvisare i proprietari è stata invece giustificata dal rischio che la notifica avrebbe potuto compromettere l'operazione: l'FBI ha quindi chiesto e ottenuto anche il diritto di rimandare la notifica ai proprietari dei server fino al termine dell'operazione. 

Non solo: l'FBI ha ottenuto la possibilità di accedere ai server compromessi in qualsiasi orario della giornata, per evitare che la loro presenza potesse essere rilevata dagli autori della web shell dannosa. 

Per pulire i server l'FBI è entrata e tutt'ora sta entrando nei server Exchange compromessi effettuando l'accesso alla web shell con le password note utilizzate dagli attaccanti stessi, esegue una copia della web shell come prova quindi la disinstalla con un apposito comando. Sotto un esempio di un comando di delete di una web shell


Qualche ricercatore di sicurezza ha ironizzato sull'operazione, palesemente molto invasiva ma giustificata dalla criticità del numero e del tipo di compromissioni, dichiarando che "già che erano dentro..." potevano installare anche le patch. Invece, paradosso del paradosso, sono già centinaia i server ripuliti dall'FBI che, però, rimangono vulnerabili. 

Nuove vulnerabilità critiche, nuova corsa contro il tempo
Nel frattempo l'NSA (l'agenzia di sicurezza nazionale statunitense) ha scoperto altre 4 vulnerabilità di livello critico nel Server Exchange: tutte queste vulnerabilità consentono l'esecuzione di codice arbitrario da remoto, se correttamente sfruttate. Per l'NSA infatti, l'ondata di attacchi contro i server Exchange è un episodio da inserire entro l'attuale clima geopolitico e diviene quindi questione di sicurezza nazionale quella di cancellare l'opportunità di sfruttare anche queste vulnerabilità, fino ad ora sconosciute. 

Le vulnerabilità in oggetto sono 4 e riguardano le versioni on-premise di Exchange Server dal 2013 al 2019: non ci sono, ad ora, evidenze di un uso attivo delle 4 falle, ma è questione di tempo prima che venga creato un exploit. Le vulnerabilità sono:

Microsoft ha già rilasciato le patch di sicurezza, risolvendo un totale di 108 vulnerabilità, 5 di queste 0day. 

Link utili

  • FAQ di Microsoft sugli update per i server Exchange > vedi qui
  • Exchange Server Health Checker > script per individuare le principali problematiche di configurazione - vedi qui

Nessun commento:

Posta un commento