{"id":24085,"date":"2021-03-09T18:36:48","date_gmt":"2021-03-09T16:36:48","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24085"},"modified":"2021-03-09T18:36:48","modified_gmt":"2021-03-09T16:36:48","slug":"exchange-vulnerabilities","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/exchange-vulnerabilities\/24085\/","title":{"rendered":"Vulnerabilit\u00e0 ampiamente sfruttate su MS Exchange Server"},"content":{"rendered":"<p>Microsoft ha rilasciato una patch fuori programma per risolvere numerose vulnerabilit\u00e0 presenti su Exchange Server. Secondo quanto afferma l\u2019azienda, quattro di queste vulnerabilit\u00e0 sarebbero gi\u00e0 state utilizzate in attacchi mirati, per questo <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">installare le patch al pi\u00f9 presto<\/a> \u00e8 di sicuro la decisione pi\u00f9 saggia.<\/p>\n<h2>Qual \u00e8 il rischio?<\/h2>\n<p>Le quattro vulnerabilit\u00e0 pi\u00f9 pericolose gi\u00e0 sfruttate consentono ai cybercriminali di effettuare un attacco in tre fasi. Prima accedono a un server Exchange, poi creano una web shell per l\u2019accesso da remoto al server e infine utilizzano questo accesso per rubare dati dalla rete della vittima. Le vulnerabilit\u00e0 sono:<\/p>\n<ul>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26855\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26855<\/a>, che pu\u00f2 essere utilizzata per la <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/server-side-request-forgery-ssrf\/\" target=\"_blank\" rel=\"noopener\">falsificazione delle richieste dal lato server<\/a>\u00a0e che porta all\u2019esecuzione di un codice da remoto;<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26857\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26857,<\/a> che pu\u00f2 essere utilizzata per eseguire un codice arbitrario per conto del sistema (anche se questa fase richiede diritti di amministratore o lo sfruttamento della vulnerabilit\u00e0 menzionata nel punto precedente);<\/li>\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-26858\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-26858<\/a> e <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2021-27065\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2021-27065<\/a>, che possono essere utilizzate dai cybercriminali per sovrascrivere i file sul server.<\/li>\n<\/ul>\n<p>I criminali informatici si avvalgono di tutte e quattro le vulnerabilit\u00e0; tuttavia, secondo Microsoft, a volte sostituiscono la prima fase di attacco con l\u2019utilizzo di credenziali rubate e accedono al server senza sfruttare la vulnerabilit\u00e0 CVE-2021-26855.<\/p>\n<p>La stessa patch corregge alcune altre vulnerabilit\u00e0 minori su Exchange che non sono direttamente collegate ad attacchi mirati attivi (per quanto ne sappiamo).<\/p>\n<h2>Chi \u00e8 a rischio?<\/h2>\n<p>La versione su cloud di Exchange non \u00e8 interessata da queste vulnerabilit\u00e0, che rappresentano una minaccia solo per i server all\u2019interno dell\u2019infrastruttura. Inizialmente Microsoft aveva rilasciato <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">aggiornamenti<\/a> per Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019, e un ulteriore aggiornamento \u201cDefense in Depth\u201d per Microsoft Exchange Server 2010. Tuttavia, a causa della gravit\u00e0 dell\u2019attacco, <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/march-2021-exchange-server-security-updates-for-older-cumulative\/ba-p\/2192020\" target=\"_blank\" rel=\"noopener nofollow\">hanno esteso la patch<\/a> anche su Exchange Server obsoleti.<\/p>\n<p>Secondo i <a href=\"https:\/\/blogs.microsoft.com\/on-the-issues\/2021\/03\/02\/new-nation-state-cyberattacks\/\" target=\"_blank\" rel=\"noopener nofollow\">ricercatori<\/a> di Microsoft, a sfruttare le vulnerabilit\u00e0 per rubare informazioni riservate sono stati i criminali informatici del gruppo Hafnium. I loro obiettivi includono grandi industrie statunitensi, ricercatori di malattie infettive, studi legali, organizzazioni no profit e analisti politici. Il numero esatto delle vittime non \u00e8 ancora noto, ma <a href=\"https:\/\/krebsonsecurity.com\/2021\/03\/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software\/\" target=\"_blank\" rel=\"noopener nofollow\">secondo le fonti di KrebsOnSecurity<\/a> parliamo di almeno 30.000 aziende negli Stati Uniti, tra cui piccole imprese, amministrazioni comunali e governi locali, la cui\u00a0 sicurezza \u00e8 stata violata utilizzando queste vulnerabilit\u00e0. I nostri esperti hanno scoperto che a essere in pericolo non sono solo le aziende americane: i criminali informatici di tutto il mondo stanno gi\u00e0 sfruttando queste vulnerabilit\u00e0. Troverete maggiori informazioni sulla geografia dell\u2019attacco nel nostro <a href=\"https:\/\/securelist.com\/zero-day-vulnerabilities-in-microsoft-exchange-server\/101096\/\" target=\"_blank\" rel=\"noopener\">post su Securelist<\/a>.<\/p>\n<h2>Come difendersi dagli attacchi su MS Exchange<\/h2>\n<ul>\n<li>Prima di tutto, installate la <a href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/released-march-2021-exchange-server-security-updates\/ba-p\/2175901\" target=\"_blank\" rel=\"noopener nofollow\">patch<\/a> per Microsoft Exchange Server. Se la vostra azienda non pu\u00f2 installare gli aggiornamenti, Microsoft raccomanda una serie di soluzioni <a href=\"https:\/\/msrc-blog.microsoft.com\/2021\/03\/05\/microsoft-exchange-server-vulnerabilities-mitigations-march-2021\/\" target=\"_blank\" rel=\"noopener nofollow\">alternative;<\/a><\/li>\n<li>Secondo Microsoft, negare a risorse non affidabili, l\u2019accesso al server Exchange sulla porta 443, o in generale limitare le connessioni dall\u2019esterno alla rete aziendale, pu\u00f2 fermare la fase iniziale dell\u2019attacco. Ma tale metodo non aiuter\u00e0 se gli i cybercriminali si trovano gi\u00e0 all\u2019interno dell\u2019infrastruttura o se ottengono l\u2019accesso di un utente con diritti di amministratore per eseguire un file dannoso;<\/li>\n<li>Una buona soluzione di <a href=\"https:\/\/www.kaspersky.it\/enterprise-security\/threat-management-defense-solution?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____tmd___\" target=\"_blank\" rel=\"noopener\">Endpoint Detection and Response<\/a> (se avete esperti in azienda) o specialisti esterni che si occupano di Managed Detection and Response possono rilevare questi comportamenti dannosi;<\/li>\n<li>Tenete sempre a mente che ogni computer connesso a Internet, sia esso server o workstation, ha bisogno di una <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluzione di sicurezza per endpoint affidabile<\/a>, in grado di gli exploit e di rilevare in modo proattivo i comportamenti dannosi.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Alcuni cybercriminali stanno sfruttando quattro pericolose vulnerabilit\u00e0 di Microsoft Exchange per avere un punto d&#8217;appoggio nelle reti aziendali.<\/p>\n","protected":false},"author":2581,"featured_media":24086,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[3496,5,538,584],"class_list":{"0":"post-24085","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-exchange","11":"tag-microsoft","12":"tag-patch","13":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/exchange-vulnerabilities\/24085\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/exchange-vulnerabilities\/22592\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/exchange-vulnerabilities\/18085\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/exchange-vulnerabilities\/24317\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/exchange-vulnerabilities\/22385\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/exchange-vulnerabilities\/21250\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/exchange-vulnerabilities\/24847\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/exchange-vulnerabilities\/30228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/exchange-vulnerabilities\/9406\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/exchange-vulnerabilities\/38964\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/exchange-vulnerabilities\/16505\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/exchange-vulnerabilities\/17104\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/exchange-vulnerabilities\/14553\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/exchange-vulnerabilities\/26321\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/exchange-vulnerabilities\/30177\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/exchange-vulnerabilities\/26768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/exchange-vulnerabilities\/23631\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/exchange-vulnerabilities\/28972\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/exchange-vulnerabilities\/28781\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/24085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=24085"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/24085\/revisions"}],"predecessor-version":[{"id":24092,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/24085\/revisions\/24092"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/24086"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=24085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=24085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=24085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}