Milano, 2 settembre 2021

Nel mese di agosto il numero di utenti attaccati da exploit che prendono di mira le vulnerabilità nei server Microsoft Exchange è cresciuto del 170%, passando da 7.342 a 19.839. Tutti i tentativi di attacco sono stati bloccati dai prodotti Kaspersky. Secondo gli esperti di Kaspersky, questa crescita esponenziale è legata all’aumento degli attacchi che sfruttano le vulnerabilità già presenti nel prodotto; nonché al fatto che gli utenti non risolvono subito le vulnerabilità del software, e così facendo ampliano la potenziale area di attacco.

Le vulnerabilità all'interno del Server Microsoft Exchange hanno già causato diversi problemi quest'anno. Il 2 marzo 2021 è stato individuato all'interno di Microsoft Exchange Server lo sfruttamento "in the wild" delle vulnerabilità zero-day, che sono state poi sfruttate in un'ondata di attacchi alle organizzazioni di tutto il mondo. Durante il 2021, Microsoft ha anche corretto una serie di vulnerabilità ProxyShell: CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207. Questo gruppo di vulnerabilità rappresenta una minaccia critica in quanto consentono ai threat actor di bypassare l'autenticazione ed eseguire un codice come utente privilegiato. Anche se le patch sono state già rilasciate tempo, i criminali informatici non hanno esitato a sfruttarle: ben 74.274 utenti Kaspersky hanno, infatti, riscontrato exploit per le vulnerabilità di MS Exchange negli ultimi sei mesi.

Inoltre, il ​​21 agosto la Cybersecurity and Infrastructure Security Agency (CISA) ha avvertito del fatto che, negli Stati Uniti, le vulnerabilità di ProxyShell sono state attivamente sfruttate dai criminali informatici in una recente ondata di attacchi. Nel suo advisory, pubblicato il 26 agosto, Microsoft ha spiegato che un server Exchange è vulnerabile se non esegue un aggiornamento cumulativo (CU) che abbia almeno il Security Update (SU) di maggio. 

Utenti unici che hanno riscontrato attacchi a MS Exchange tra marzo e agosto 2021

Secondo la telemetria di Kaspersky, nell'ultima settimana estiva sono stati attaccati oltre 1.700 utenti al giorno utilizzando l’exploit ProxyShell, facendo crescere del 170% il numero di attacchi ad agosto 2021, rispetto a luglio 2021. Questi dati evidenziano il fatto che, se lasciate senza patch, queste vulnerabilità rappresentano un problema su larga scala.

"Il fatto che queste vulnerabilità vengano sfruttate attivamente non sorprende. Molto spesso le vulnerabilità 1-day, ovvero quelle che sono già state divulgate e per le quali gli sviluppatori hanno già rilasciato le patch, rappresentano una minaccia ancora più grande in quanto sono note a un ampio numero di criminali informatici che provano a penetrare in qualsiasi rete riescano a raggiungere. Questa crescita degli attacchi dimostra ancora una volta quanto sia essenziale correggere in tempi brevi le vulnerabilità per evitare che le reti vengano compromesse. Raccomandiamo vivamente di seguire i consigli del recente alert di Microsoft per evitare eventuali rischi più gravi", ha commentato Evgeny Lopatin, security researcher di Kaspersky.

I prodotti Kaspersky proteggono dagli exploit che sfruttano le vulnerabilità di ProxyShell con gli strumenti Behavior Detection e Exploit Prevention, e rilevano lo sfruttamento con i seguenti nomi:

·  PDM:Exploit.Win32.Generic

·  HEUR:Exploit.Win32.ProxyShell.*

·  HEUR:Exploit.*.CVE-2021-26855.*

Per proteggersi dagli attacchi che sfruttano queste vulnerabilità, Kaspersky consiglia di:

•  Aggiornare il prima possibile il Server Exchange

•  Focalizzare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell'esfiltrazione di dati su Internet. Fare particolarmente attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici. Eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza

•  Utilizzare soluzioni come Kaspersky Endpoint Detection and Response e il servizio Kaspersky Managed Detection and Response, che aiutano a identificare e bloccare gli attacchi nelle fasi iniziali, prima che i criminali possano raggiungere i loro obiettivi

•  Utilizzare una soluzione di sicurezza degli endpoint affidabile, come Kaspersky Endpoint Security for Business, basata sulla prevenzione degli exploit, il rilevamento del comportamento e un motore di risoluzione dei problemi in grado di ripristinare le azioni dannose. KESB dispone anche di meccanismi di autodifesa che possono impedirne la rimozione da parte dei criminali informatici.



Ad agosto gli attacchi a Microsoft Exchange sono cresciuti del 170%

Kaspersky Logo