Vulnerabilità ProxyShell in Microsoft Exchange

Questa estate sembra sia stata particolarmente attiva per l’attività dei cyber criminali, infatti questi stanno attivamente analizzando e sfruttando i server Microsoft Exchange vulnerabili che non hanno applicato le patch di sicurezza rilasciate.
Il baco da loro utilizzato porta il nome di ProxyShell che è in realtà un insieme di tre vulnerabilità usate insieme come parte di un’unica catena di attacco, tramite queste si può agire sul Microsoft Client Access Service (CAS), un servizio utilizzato per accedere alla propria posta elettronica tramite dispositivi mobili o browser web.
Tramite questo bug il cyber criminale sarà in grado di aggirare l’autenticazione ed eseguire un codice come amministratore.
A dare per primo l’allarme sulla presente vulnerabilità è stato un nostro conoscente, Orange Tsai (articolo Epsilon Red), il ricercatore ne ha infatti parlato durante il Black Hat USA 2021, una delle più grandi convention dedicata al mondo dell’Hacking.

https://twitter.com/orange_8361/status/1428014546057273344?s=20

In questo video Mat Gangwer, capo del team Sophos Managed Threat Response (MTR), condivide i dettagli sulla minaccia e offre consigli su come affrontarla.

Se utilizzi un server Microsoft Exchange:

  1. Esegui il backup dei registri IIS/Server di Exchange e assicurati di aver applicato gli aggiornamenti di sicurezza di luglio 2021 per Microsoft Exchange
    • L’applicazione di patch garantisce solo che la vulnerabilità non possa essere ulteriormente sfruttata. Se sei già stato violato, le patch del software non affrontano il comportamento post-exploit da parte di un autore di minacce
  2. (Per i clienti non Sophos MTR) Identificare e analizzare le finestre di esposizione per l’attività avversa
    • Identifica ed elimina web shell e binari dannosi
    • Esamina l’attività del processo per le istanze di w3wp.exe
    • Identifica e rimuove qualsiasi persistenza stabilita da un autore
  3. Assicurati che la protezione degli endpoint sia distribuita su tutti gli endpoint e i server. Verifica che tutte le protezioni siano state abilitate e che le tue esclusioni siano ridotte al minimo.

La minaccia Proxyshell per gli utenti Sophos.

I clienti Sophos sono protetti da molteplici rilevamenti dello sfruttamento di queste vulnerabilità. Possono essere utilizzati dai cacciatori di minacce per eseguire ricerche nei propri ambienti.
Inoltre, il 24 agosto, i SophosLabs hanno rilasciato una nuova firma più generica 2305979 per rilevare tentativi di exploit di vulnerabilità nel server Microsoft Exchange.

Minacce come ProxyShell sono un ottimo esempio di come sia possibile dormire sonni tranquilli sapendo che la propria organizzazione è supportata da un team d’élite di cacciatori di minacce ed esperti di risposta agli incidenti.

Quando si è diffusa la notizia di ProxyShell, il team di Sophos ha immediatamente iniziato a cercare e indagare negli ambienti dei clienti per determinare se qualche attività fosse correlata all’attacco. Inoltre, ha cercato di scoprire nuovi artefatti (ad esempio IOC) relativi all’attacco che potrebbero fornire una ulteriore protezione.

La disponibilità 24 ore su 24, 7 giorni su 7 di Sophos ha significato che non è stato sprecato un solo secondo e tutte le possibili minacce sono state rese inoffensive.

Se vuoi saperne di più:

Preoccupato per ProxyShell?
Contatta oggi Promigroup per assicurarti che qualsiasi potenziale attività conflittuale nel tuo ambiente venga identificata e neutralizzata, prima che si verifichino danni.

-Ugo Bonanni

Marketing e Ecommerce Promigroup