Pericolosa vulnerabilità sulla piattaforma Exchange: come Lan&Wan Solutions ha difeso i propri clienti dall’attacco del gruppo Hafnium!
E’ notizia dei giorni scorsi la presenza di 4 vulnerabilità 0-day sui server Microsoft Exchange on premise. Nonostante la stessa Microsoft abbia rilasciato con una certa celerità degli aggiornamenti di sicurezza, il gruppo criminale Hafnium era in possesso già da tempo degli exploit necessari a sfruttare le falle sui sistemi aziendali. La conseguenza nemmeno troppo difficile da immaginare è che le reti sono state per diversi giorni alla mercè di attacchi a tutti gli effetti impossibili da rilevare e bloccare da parte degli strumenti di sicurezza della Lan Aziendale.
Di seguito il racconto di come il nostro Security Operation Center è riuscito a rilevare questi attacchi e come abbia reagito per difendere le aziende clienti nella fase in cui le patch non erano ancora state rilasciate e pertanto gli attacchi erano a tutti gli effetti definibili 0-day.
La fase di “detection” degli obiettivi dei cyber criminali è avvenuta attraverso uno scan degli Exchange vulnerabili effettuata con “Zgrabber”, un tool scaricabile liberamente da GitHub. Una volta selezionati i target, i criminali sono passati all’attacco vero e proprio.
La prima manifestazione si ha quando il nostro Security Operation Center rileva del traffico anomalo sui firewall delle aziende clienti proveniente da due IP pubblici.
I nostri analisti, dopo aver svolto le necessarie attività di correlazione degli eventi, comprendono che la dinamica dell’attacco era diretta proprio verso i server Exchange delle aziende clienti. Dato che ci trovavamo di fronte ad uno “O-day Attack” i consuenti tool di cyber security non riconoscevano ancora gli indicatori di compromissione (in questo caso “Web IOC”).
La vera sorpresa è stata il risultato dell’analisi fatta sul server Exchange delle aziende colpite. Dai log si poteva evincere che gli attaccanti erano già riusciti a inserire un payload contente delle reverse shell (tramite file .ASPX) posizionate nelle cartelle dove era installato Exchange. Se fossero riusciti a completare la fase di C&C (Comand & Control), sarebbe inziato il primo stager dell’infezione.
Per rendere sicura e stabile la situazione, gli analisti di Lan & Wan Solutions hanno proceduto poi a fare il “Reverse Engineering” del codice e successivamente a creare uno script che ha permesso di bloccarne il contenuto malevole in maniera automatica.
L’analisi contenente il “Reverse Engineering” del payload sarà trattata con esaustività sul nostro blog nei prossimi giorni.
Nel frattempo vi invitiamo ad installare quanto prima le patch di sicurezza rilasciate da Microsoft e a contattarci in caso di necessità di supporto per risolvere rapidamente il problema della pericolosa vulnerabilità della piattaforma Exchange.
Exchange AfterPatch Attack
Il Security Operation Center di Lan & Wan Solutions nella giornata di venerdì 2 aprile, ha rilevato delle nuove modalità d’attacco che sfruttano le note vulnerabilità della piattaforma di posta elettronica della Microsoft, Exchange Server, e che, grazie ad avanzatissime tecniche di lateral movement, anche dopo il patching riescono ad ottenere varie persistenze nel dominio attaccato.
Un caso ecclatante è stato analizzato dal nostro team di Ricercatori che ha portato alla luce una complessissima rete di malware e persistenze sparse lateralmente nella rete di chi ha subito la prima intrusione già nelle settimane precedenti.
Tutto questo è avvenuto nonostante l’applicazione delle patch Microsoft sulle vulnerabilità e nonostante la “pulizia” del server exchange da tutti gli elementi malevoli poco dopo la segnalazione fatta da Microsoft. Ebbene anche in questi casi abbiamo registrato la presenza di aziende vittime di attacchi DoS ai sistemi di posta ed autenticazione scaturiti da altre intrusioni.
È stato quindi ingaggiato il team di Incident Response di Lan & Wan Solutions, che ha scoperto varie persistenze non comuni ed inserite manualmente con privilegi SYSTEM da attaccanti estremamente esperti, che si sono presi cura di eliminare tutte le tracce che riconducesso alla loro azione.
Al momento è in corso un’indagine avanzata per comprendere le dinamiche di questo ed altri attacchi simili, nell’ottica di sviluppare un piano operativo utile alla prevenzione di eventi correlati all’utilizzo delle recenti vulnerabilità Microsoft.
Lan & Wan Solutions si rende disponibile a supportare le aziende colpite da attacchi informatici anche gravi, rimettendo in sicurezza l’infrastruttura, grazie all’expertise maturata dal SOC interno che ogni giorno si pone l’obiettivo di rendere sicura l’infrastruttura dei suoi clienti sotto tutti gli aspetti che riguardano la Cyber Security.
