ProxyShell: i server Microsoft Exchange non aggiornati sono in pericolo

Microsoft ha finalmente pubblicato una nota ufficiale in cui conferma che le installazioni di Exchange Server non aggiornate sono sotto attacco e che lo sfruttamento delle vulnerabilità complessivamente note col nome di ProxyShell può portare all’esecuzione di codice dannoso, compreso il caricamento di ransomware, e alla sottrazione di dati personali e informazioni riservate.

Durante l’edizione 2021 della “gara tra hacker” Pwn2Own il ricercatore Orange Tsai ha mostrato l’esistenza di tre gravi vulnerabilità in Microsoft Exchange Server. Le tre problematiche, risolte da Microsoft ad aprile e maggio 2021 con il rilascio delle corrispondenti patch di sicurezza, sono state sfruttate da Tsai per assumere il pieno controllo su una macchina con Exchange Server installato ma sono sempre più utilizzate oggi dai criminali informatici per fare breccia nelle reti aziendali di realtà di mezzo mondo.

Le falle in questione sono tre: CVE-2021-34473 (KB5001779), CVE-2021-34523 (KB5001779) e CVE-2021-31207 (KB5003435).

Il problema è che fino a luglio scorso Microsoft non ha assegnato alcun identificativo alle vulnerabilità di fatto rendendo molto più difficoltoso per le imprese capire se all’interno delle loro infrastrutture di rete fossero presenti sistemi a rischio.

Dagli Stati Uniti CISA (Cybersecurity and Infrastructure Security Agency) aveva già esortato gli amministratori di sistemi Exchange Server a installare quanto prima le patch ufficiali Microsoft per proteggere le reti dagli attacchi ProxyShell iniziati ad agosto.
Nonostante l’avviso di una delle più importanti agenzie governative USA, Microsoft non ha tuttavia ritenuto di pubblicare alcun bollettino fino alla data odierna.

L’azienda di Redmond sottolinea che chi ha installato gli aggiornamenti di aprile e maggio 2021 è completamente protetto nei confronti degli attacchi ProxyShell. Allo stesso modo anche gli utenti di Exchange Online sono a loro volta protetti. È tuttavia bene assicurarsi che le configurazioni ibride di Exchange utilizzino esse stesse le patch Microsoft più recenti.

È fondamentale attivarsi rapidamente per mettere in sicurezza le proprie installazioni di Exchange: i criminali informatici stanno scansionando la rete alla ricerca di server vulnerabili e utilizzando le vulnerabilità ProxyShell provano a violarli grazie agli exploit funzionante già abbondantemente noti.
Mentre inizialmente i payload caricati mediante ProxyShell sui server Exchange erano innocui, gli aggressori stanno ora distribuendo il ransomware LockFile facendolo viaggiare all’interno dei domini Windows con lo sfruttamento di ulteriori vulnerabilità lasciate irrisolte come PetitPotam.

Per dare un’idea delle dimensioni del problema, Huntress Labs afferma di aver individuato più di 140 web shell distribuite dagli attaccanti su oltre 1.900 server Microsoft Exchange compromessi.
Lo stesso motore di ricerca Shodan permette di tracciare decine di migliaia di server Exchange vulnerabili agli attacchi ProxyShell. Il 18% di tutti i server Exchange sarebbero attaccabili con ProxyShell, il 40% risulterebbero esposti a un’ulteriore vulnerabilità (CVE-2021-31206) risolta da Microsoft a luglio che può portare all’esecuzione di codice arbitrario in modalità remota.