Nel Mese di Marzo, Microsoft ha pubblicato un bollettino di sicurezza per l’applicazione di patch di Microsoft Exchange. L’urgenza della patch era dovuta all’evidenza che il gruppo criminale Hafnium stesse sfruttando certe vulnerabilità per compromettere i server di diverse società nel mondo (CVE-2021-26855CVE-2021-26857CVE-2021-26858 e CVE-2021-27065).

Proprio in questi giorni sono state identificate nuove vulnerabilità del prodotto Microsoft Exchange che permetterebbero ai criminali di effettuare accessi abusivi a questi sistemi senza conoscere username e password per l’accesso.

Mappa interattiva

  • Sistemi compromessi
    • al 29 Marzo: 346
    • al 10 aprile: 245
  • Sistemi con due o piu backdoor:
    • al 29 marzo: 106
    • al 10 aprile: 72
  • sistemi Exchange in Italia: 8394;
  • sistemi vulnerabili:
    • 1477 il 29 Marzo (17% del totale);
    • 1100 il 10 Aprile (13% del totale);

Le Backdoor installate nei server italiani

Fra il 29 Marzo e il 10 Aprile è evidente una riduzione del numero di Backdoor installate nei sistemi italiani compromessi.

Questo è legato alle attività di Patch e contestuale rimozione delle backdoor. Vorremmo sottolineare che la sola applicazione della Patch non è sufficiente per l’effettiva rimozione del codice malevolo.

La backdoor supp0rt.aspx risulta quella con un maggiore calo ed è quella maggiormente presente nei sistemi italiani. Le prime compromissioni relative a questa backdoor risalgono infatti al 5 Marzo 2021.


Lo Status Code delle Webshell

Immagine interattiva


I percorsi delle Webshell

Immagine interattiva

Resoconto dei sistemi Vulnerabili

Sistemi vulnerabili in Italia. Le differenze a distanza di 2 settimane.

I controlli e le analisi condotte dal nostro team hanno portato all’identificazione di circa 8mila sistemi Microsoft Exchange in Italia. 1477 risultano vulnerabili in data 29 Marzo 2021.

L’ulteriore controllo del 10 Aprile evidenza 377 sistemi aggiornati. Rimangono ancora 1100 sistemi vulnerabili.

Città per numero di sistemi vulnerabili:

Sistemi vulnerabili per ISP (Internet Service Provider):

La Difesa di Fortgale

Fortgale eroga servizi difensivi specialistici per la gestione e protezione da Cyber Attack. Le attività di monitoraggiorilevamento risposta degli incidenti informatici sono erogate con il supporto di attività specialistiche di Cyber Threat intelligence e Threat Hunting.

Per maggiori informazioni: contatti

Related articles