{"id":1857,"date":"2021-03-07T18:12:53","date_gmt":"2021-03-07T16:12:53","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=1857"},"modified":"2022-01-11T15:17:47","modified_gmt":"2022-01-11T15:17:47","slug":"gestione-di-un-cyber-attack-exchange-server","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/gestione-di-un-cyber-attack-exchange-server\/","title":{"rendered":"Gestione del cyber attack Exchange Server. Perch\u00e9 pu\u00f2 essere pi\u00f9 grave di WannaCry"},"content":{"rendered":"\n<p style=\"text-align: justify\">In questi giorni stiamo assistendo ad <strong>attacchi informatici massivi<\/strong>, <strong>automatizzati<\/strong> e su <strong>scala globale<\/strong>. Si tratta di attacchi che sfruttano le recenti vulnerabilit\u00e0 dei sistemi di posta <strong>Microsoft Exchange Server<\/strong>. Solo in Italia i sistemi vulnerabili potrebbero essere circa <strong>8000<\/strong>, mentre a livello globale \u00e8 possibile stimarne circa 200 000.<\/p>\n\n\n\n<p style=\"text-align: justify\">Un attacco di questo tipo mette a rischio il <strong>know-how<\/strong> delle societ\u00e0 attaccate e, in certi casi, potrebbe risultare fatale per quelle aziende gi\u00e0 duramente colpite dalla pandemia <strong>Covid-19<\/strong>.<\/p>\n\n\n\n<div class=\"wp-block-media-text alignwide is-stacked-on-mobile\" style=\"grid-template-columns:57% auto\"><figure class=\"wp-block-media-text__media\"><img decoding=\"async\" width=\"1024\" height=\"701\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/03\/Exchange_Vuln-1024x701-1.webp\" alt=\"\" class=\"wp-image-4293 size-full\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/03\/Exchange_Vuln-1024x701-1.webp 1024w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/03\/Exchange_Vuln-1024x701-1-300x205.webp 300w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/03\/Exchange_Vuln-1024x701-1-768x526.webp 768w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" loading=\"lazy\" \/><\/figure><div class=\"wp-block-media-text__content\">\n<p><span>Le vulnerabilit\u00e0: <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" class=\"ek-link\">CVE-2021-26855<\/a> <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" class=\"ek-link\">CVE-2021-26857<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" class=\"ek-link\">CVE-2021-26858<\/a>, e <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" class=\"ek-link\">CVE-2021-27065<\/a>.<\/span><\/p>\n<p><span>I prodotti vulnerabili:&nbsp;<\/span><\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Microsoft Exchange Server 2019&nbsp;<\/strong><\/li><li><strong>Microsoft Exchange Server 2016&nbsp;&nbsp;<\/strong><\/li><li><strong>Microsoft Exchange Server 2013&nbsp;&nbsp;<\/strong><\/li><li><strong>Microsoft Exchange Server 2010<\/strong><\/li><\/ul>\n<\/div><\/div>\n\n\n\n<h2 class=\"has-text-align-center wp-block-heading\" id=\"h-perche-preoccuparsi-di-quest-attacco\">Perch\u00e9 preoccuparsi di quest&#8217;attacco?<\/h2>\n\n\n\n<p style=\"text-align: justify\">Difficilmente si assiste ad eventi di <strong>Cyber Security<\/strong> di questo impatto. A nostro avviso l&#8217;attuale situazione \u00e8 di gran lunga peggiore del caso <strong>Ransomware WannaCry<\/strong>. In quel caso infatti gli impatti immediati dell&#8217;attacco permettevano quantomeno una reazione immediata da parte delle Aziende colpite.<\/p>\n\n\n\n<p style=\"text-align: justify\">La <strong>natura silente<\/strong> di questo caso invece potrebbe tradursi nella <strong>mancata identificazione della compromissione<\/strong> da parte di numerose Aziende, che registreranno impatti esclusivamente <strong>durante le prossime settimane\/mesi<\/strong>.<\/p>\n\n\n\n<p style=\"text-align: justify\">Per fare fronte ad <strong>attacchi altamente sofisticati<\/strong> come in questo caso, in cui gli attaccanti utilizzano <strong>vulnerabilit\u00e0 0-day<\/strong> o software di controllo remoto,<strong> la sola tecnologia non basta<\/strong>.<br>Le <strong>competenze<\/strong> e il <strong>modello difensivo innovativo<\/strong> sviluppato da <strong>Fortgale<\/strong> permette di gestire efficacemente incidenti informatici di questo livello, dall&#8217;identificazione, alla analisi dei malware e alla <strong>rimozione dei criminali dal network aziendale<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator\" \/>\n\n\n\n<h2 class=\"has-text-align-center wp-block-heading\" id=\"h-fortgale-il-racconto-di-un-tentativo-di-exploitation\">Fortgale | Il racconto di un tentativo di <em>Exploitation<\/em><\/h2>\n\n\n\n<p style=\"text-align: justify\">Durante l&#8217;erogazione dei nostri servizi di <strong>Sicurezza Gestita <\/strong>abbiamo trovato traccia di quanto esposto nei documenti di <em><strong>Cyber Threat Intelligence<\/strong> <\/em>degli ultimi giorni. Il nostro Team ha infatti identificato e gestito due distinti attacchi informatici di questo tipo. <br>L&#8217;identificazione (<em><strong>Detection<\/strong><\/em>) di questo genere di compromissione non \u00e8 semplice. Sono stati condivisi diversi indicatori di compromissione (<strong>IOC<\/strong>), informazioni che per\u00f2 risultano strettamente connesse ai casi studiati e non sempre applicabili su qualsiasi infrastruttura.<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-full\"><img decoding=\"async\" width=\"1440\" height=\"810\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2022\/01\/UA_eschangeServer.gif\" alt=\"\" class=\"wp-image-4296\" loading=\"lazy\" \/><\/figure><\/div>\n\n\n\n<p style=\"text-align: justify\">L&#8217;identificazione dell&#8217;attacco \u00e8 avvenuto esclusivamente per mezzo di attivit\u00e0 di <em><strong>Hunting<\/strong> <\/em>del nostro team, che ha identificato l&#8217;<strong><em>upload<\/em><\/strong> di codice malevolo ( WebShell simil China-Chopper) su alcuni sistemi. Il processo che ha scritto il file malevolo \u00e8 il seguente:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"1024\" height=\"207\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/03\/evidenza-1024x207-1.webp\" alt=\"\" class=\"wp-image-4294\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/03\/evidenza-1024x207-1.webp 1024w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/03\/evidenza-1024x207-1-300x61.webp 300w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/03\/evidenza-1024x207-1-768x155.webp 768w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" loading=\"lazy\" \/><figcaption> Exploitation della vulnerabilit\u00e0<\/figcaption><\/figure>\n\n\n\n<p style=\"text-align: justify\">L&#8217;evento, seppur non malevolo apparentemente, \u00e8 il risultato dell&#8217;exploitation delle vulnerabilit\u00e0 che porta alla scrittura su disco di file &#8220;.aspx&#8221; malevoli per l&#8217;accesso remoto. <br>Due diverse webshell rilevate in questo periodo:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>supp0rt.aspx<\/strong><\/li><li><strong>OutlookEN.aspx<\/strong><\/li><\/ul>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"1024\" height=\"91\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/03\/webshell_CC-1024x91-1.webp\" alt=\"\" class=\"wp-image-4295\" srcset=\"https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/03\/webshell_CC-1024x91-1.webp 1024w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/03\/webshell_CC-1024x91-1-300x27.webp 300w, https:\/\/fortgale.com\/blog\/wp-content\/uploads\/sites\/2\/2021\/03\/webshell_CC-1024x91-1-768x68.webp 768w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" loading=\"lazy\" \/><figcaption>WebShell &#8211; China Chopper<\/figcaption><\/figure>\n\n\n\n<h3 class=\"has-text-align-center wp-block-heading\" id=\"h-prima-fase-accesso-iniziale-ta1190\"><strong><span style=\"color:#000000\" class=\"tadv-color\">Prima fase |<\/span><\/strong> Accesso Iniziale [<a href=\"https:\/\/attack.mitre.org\/techniques\/T1190\/\" class=\"ek-link\">TA1190<\/a>]<\/h3>\n\n\n\n<p style=\"text-align: justify\">Sfruttando le vulnerabilit\u00e0 di <strong>Microsoft Exchange<\/strong> (<a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/02\/multiple-security-updates-released-for-exchange-server\/\" class=\"ek-link\">link<\/a>), diversi gruppi criminali stanno compromettendo in maniera massiva e non targettizzata i sistemi vulnerabili di tutto il mondo. La vulnerabilit\u00e0 permette loro di effettuare l&#8217;<em>upload<\/em> di file malevoli per il controllo remoto del sistema (<strong>Web Shell<\/strong>).<\/p>\n<p style=\"text-align: justify\">Il nostro Team di analisti, al momento, ha identificato esclusivamente l&#8217;attivit\u00e0 di <strong><em>Exploitation<\/em> <\/strong>e <strong><em>Upload<\/em> <\/strong>di <em>file<\/em> malevoli. In questi giorni non si \u00e8 rilevata ulteriore attivit\u00e0 malevola.<\/p>\n\n\n\n<h3 class=\"has-text-align-center wp-block-heading\" id=\"h-seconda-fase-previsioni-e-speculazioni\"><strong>Seconda Fase |<\/strong> Previsioni e speculazioni<\/h3>\n\n\n\n<p style=\"text-align: justify\">Considerato il tipo di accesso ottenuto dai criminali durante la prima fase, \u00e8 possibile dedurre che i criminali eseguiranno delle attivit\u00e0 di compromissione pi\u00f9 complesse solo in un secondo momento . <br>Alcune previsioni sulle <strong>Tattiche <\/strong>che potrebbero essere osservate nelle prossime settimane su sistemi compromessi:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Esfiltrazione di informazioni dalle E-mail aziendali [<a href=\"https:\/\/attack.mitre.org\/tactics\/TA0010\/\" class=\"ek-link\">TA0010<\/a>];<\/li><li>Attacco <strong>Ransomware <\/strong>al <em>Server Exchange<\/em> [<a href=\"https:\/\/attack.mitre.org\/tactics\/TA0040\/\" class=\"ek-link\">TA0040<\/a>];<\/li><li>Vendita degli accessi ottenuti nei <em><strong>Black Market<\/strong><\/em>;<\/li><li><em><strong>Lateral Movement<\/strong><\/em> verso altri sistemi aziendali come &#8220;Domain Controller&#8221; [<a href=\"https:\/\/attack.mitre.org\/tactics\/TA0008\/\" class=\"ek-link\">TA0008<\/a>, <a href=\"https:\/\/attack.mitre.org\/tactics\/TA0006\/\" class=\"ek-link\">TA0006<\/a>];<\/li><li><em><strong>Escalation <\/strong><\/em>ad ottenimento credenziali privilegiate [<a href=\"https:\/\/attack.mitre.org\/tactics\/TA0006\/\">TA0006<\/a>] ;<\/li><li>Avvio attacco <strong><em>Ransomware <\/em>su pi\u00f9 sistemi dell&#8217;infrastruttura<\/strong> [<a href=\"https:\/\/attack.mitre.org\/tactics\/TA0040\/\">TA0040<\/a>].<\/li><\/ul>\n\n\n\n<h2 class=\"has-text-align-center wp-block-heading\" id=\"h-proteggere-e-difendere-i-sistemi\">Proteggere e difendere i sistemi<\/h2>\n\n\n\n<p style=\"text-align: justify\"><strong>Microsoft <\/strong>ha recentemente pubblicato una serie di aggiornamenti di sicurezza per la messa in sicurezza di questi sistemi (<a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/02\/multiple-security-updates-released-for-exchange-server\/\" class=\"ek-link\">link<\/a>).<br>Lista vulnerabilit\u00e0 risolte dall&#8217;aggiornamento: <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" class=\"ek-link\">CVE-2021-26855<\/a> <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" class=\"ek-link\">CVE-2021-26857<\/a>, <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" class=\"ek-link\">CVE-2021-26858<\/a>, e <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" class=\"ek-link\">CVE-2021-27065<\/a>.<\/p>\n\n\n\n<p style=\"text-align: justify\"><strong>Prestare particolare attenzione<\/strong> al fatto che applicare gli aggiornamenti di sicurezza o le mitigazioni proposte da Microsoft rende il sistema protetto per gli attacchi futuri. <strong>Per rimuovere la minaccia da sistemi gi\u00e0 colpiti \u00e8 necessario procedere con attivit\u00e0 specifica di <a href=\"https:\/\/fortgale.com\/it\/#contact\" class=\"ek-link\">Incident Response.<\/a><\/strong><\/p>\n\n\n\n<h2 class=\"has-text-align-center wp-block-heading\" id=\"h-attribuzione-chi-sta-eseguendo-gli-attacchi-informatici\">Attribuzione &#8211; Chi sta eseguendo gli attacchi informatici<\/h2>\n\n\n\n<p style=\"text-align: justify\">Le informazioni condivise da Microsoft e altre aziende di settore fanno riferimento ad un attacco informatico sofisticato orchestrato dal gruppo <strong>HAFNIUM<\/strong>, noto <strong>gruppo criminale<\/strong> che esegue attivit\u00e0 offensive nei confronti di aziende americane.<br>Tuttavia, seppur sfruttando le stesse vulnerabilit\u00e0, gli attacchi che si stanno osservando su scala globale <strong>non sono attribuibili al gruppo HAFNIUM<\/strong> ma ad attivit\u00e0 di altri <b><i>gruppi criminali <\/i><\/b>che ne stanno ricalcando il medesimo approccio.<\/p>\n\n\n\n<p style=\"text-align: justify\"><strong>Fortgale<\/strong>, nell&#8217;erogazione delle attivit\u00e0 specialistiche di <strong><em>Cyber Defence<\/em><\/strong>, ha identificato due diversi gruppi criminali che stanno attualmente compromettendo i sistemi <em>Exchange<\/em> su <strong>territorio italiano<\/strong>.<\/p>\n\n\n\n<h3 class=\"has-text-align-center wp-block-heading\" id=\"h-la-nostra-difesa-gestita\"><strong>La Nostra Difesa Gestita<\/strong><\/h3>\n\n\n\n<p class=\"has-text-align-center\">Come &#8220;Security Service Provider&#8221;, <strong>Fortgale <\/strong>supporta le Aziende nella prevenzione, gestione e intervento in caso di <strong>Cyber Attack<\/strong>, con una serie di servizi di <strong>monitoraggio<\/strong>, <strong>rilevamento <\/strong>e <strong>risposta <\/strong>e con l&#8217;integrazione di attivit\u00e0 specialistiche di <strong>Cyber Threat intelligence<\/strong> e <strong>Threat Hunting<\/strong>.<\/p>\n\n\n<p style=\"text-align: center\">Per maggiori informazioni: <a href=\"mailto:fort@fortgale.com\">contatti<\/a><\/p>\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In questi giorni stiamo assistendo ad attacchi informatici massivi, automatizzati e su scala globale. Si tratta di attacchi che sfruttano le recenti vulnerabilit\u00e0 dei sistemi di posta Microsoft Exchange Server. Solo in Italia i sistemi vulnerabili potrebbero essere circa 8000, mentre a livello globale \u00e8 possibile stimarne circa 200 000. Un attacco di questo tipo [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1889,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[36,38,65,89,93,94,95,135,136,138,167,177,227,232,234,259,316,339,341,342,343,385,386,388],"class_list":["post-1857","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-aspx","tag-attck","tag-china-chopper","tag-cve","tag-cve-2021-26855-cve-2021-26857","tag-cve-2021-26858","tag-cve-2021-27065","tag-exchange","tag-exchange-server","tag-exploit","tag-hafnium","tag-incident-response","tag-microsoft","tag-mitre","tag-msexchangeecpapppool","tag-outlooken","tag-shodan","tag-supp0rt","tag-ta0008","tag-ta0010","tag-ta0040","tag-w3wp-exe","tag-wannacry","tag-webshell"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1857","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=1857"}],"version-history":[{"count":3,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1857\/revisions"}],"predecessor-version":[{"id":4299,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1857\/revisions\/4299"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=1857"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=1857"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=1857"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}