Nell’agosto del 2022, l’azienda di sicurezza informatica vietnamita GTSC avverte di aver trovato due vulnerabilità 0-day in Exchange Server in seguito a richieste di consulenza da parte dei loro clienti.
Il Microsoft Security Response Center (MSRC) ha da allora osservato il fenomeno e ha classificato le due vulnerabilità, confermando di fatto quanto riportato dalla GTSC.
In questo articolo, analizzeremo tutti gli aspetti tecnici dei bug, non tralasciando di fornire suggerimenti e misure preventive per metterli in sicurezza.
- Exchange Server, cos’è
- Dettagli sulle vulnerabilità dell’Exchange Server
- Gli exploit documentati
- Focus su ProxyShell
- Possibili rimedi alle falle di sicurezza in Exchange Server
- Conclusioni
Exchange Server, cos’è
Chiunque abbia lavorato in un ufficio è probabilmente entrato in contatto con questo servizio: “Exchange”.
Il nome rende chiaro il suo scopo: Microsoft Exchange aggrega diversi servizi offerti da Microsoft nell’ambito della produttività aziendale, dalla comunicazione alla condivisione.
Oltre al servizio di e-mail hosting, Exchange consente di creare calendari condivisi, con obiettivi e appuntamenti.
Alla base di tutti questi servizi c’è un server specificamente adibito ad ospitare questo servizio, grazie al quale è possibile mettere in comunicazione gli account Exchange ad esso collegati.
Dettagli sulle vulnerabilità dell’Exchange Server
L’estensione del danno è vasta sia per il massiccio numero di utenti che usufruiscono di tali servizi, sia per la portabilità di queste vulnerabilità attraverso le varie versioni.
Ad essere colpiti sono i servizi di
- Microsoft Exchange Server 201
- le versioni del 2016 e 2019.
Nello specifico, le vulnerabilità 0-day classificate da Microsoft sono:
- CVE-2022-41040, riconosciuta come una Server Side Request Forgery (SSRF)
- CVE-2022-41082, che può essere sfruttata per far eseguire del codice esterno al servizio (Remote Code Execution) qualora Exchange PowerShell sia accessibile all’attaccante
Stando a quanto riportato dal Microsoft Security Response Center nella relativa Customer Guidance, gli attacchi osservati sarebbero ai danni di enti ben designati, dunque in numero relativamente esiguo.
Ciò, tradotto dal linguaggio ‘corporate’, non ridimensiona la portata del danno in termini di soggetti vulnerabili, ma esclude semplicemente che queste vulnerabilità possano essere sfruttate a tappeto su tutti gli utenti.
Ne risultano quindi meno attacchi ma più mirati.
La spiegazione per questo fenomeno, viene dal fatto che tali vulnerabilità sono sfruttabili solo se si ha accesso al server come utente autorizzato.
Spesso sono utilizzate insieme, dato che con la CVE-2022-41040 è possibile innescare la CVE-2022-41082 da remoto.
Tuttavia, possono essere violate anche singolarmente, purché appunto si possegga un account con accesso al server Exchange del proprio target.
Gli exploit documentati
Il Microsoft Security Threat Intelligence Center (da qui: MSTIC) è l’organo di Microsoft incaricato per il monitoraggio e l’analisi del fenomeno.
I dati acquisiti dagli attacchi studiati distinguono due casi:
- attività eseguite prima della pubblicazione della vulnerabilità
- attività successive alla pubblicazione
Analizziamole in dettaglio.
Prima della pubblicazione
Precedentemente alla pubblicazione, le attività illecite osservate gravitano intorno ad un singolo gruppo di hacker che ha iniziato ad agire su queste vulnerabilità almeno da agosto 2022.
Il gruppo aveva evidentemente notato che era possibile ottenere l’accesso a server Exchange con il fine di comprometterli.
Per ottenere tale risultato hanno usato una vulnerabilità per innescare l’altra, in un processo di chaining.
Il numero di attacchi del gruppo è stato esiguo, ma sufficiente a
- ottenere l’installazione della web shell Chopper
- muoversi nelle varie directory fino ad esfiltrare dati e informazioni sensibili
Il gruppo ha agito ai danni di circa dieci enti a livello globale e l’investigazione non esclude che gli attaccanti possano essere supportati da un’entità statale.
Dopo la pubblicazione
L’azienda vietnamita GTSC, dopo essere entrata in contatto con Microsoft, pubblica nel settembre 2022 un articolo di blog con un esempio di sfruttamento concatenato delle vulnerabilità.
Da allora ci si aspetta che tanto gli esperti di cybersicurezza che i cybercriminali adottino nei loro toolkit quelle stesse procedure e che da lì, man mano che altri esempi pratici vengono pubblicati, nascano altri metodi.
Infatti, sebbene sia necessaria l’autenticazione per poter sfruttare le due vulnerabilità, il livello sufficiente di privilegio risulta essere quello del semplice utente finale.
Ciò vuol dire che intorno alle vulnerabilità gravita un “indotto” di attività illecite atto ad ottenere le preziose credenziali, con le quali può iniziare la corruzione del server Exchange preso di mira.
Non sono da escludere, quindi, tentativi di password spraying o l’utilizzo di tecniche di social engineering ai danni degli impiegati.
Una volta ottenute le necessarie autorizzazioni, i metodi di sfruttamento delle vulnerabilità vengono aggiunti ai toolkit dei gruppi criminali che mirano ad iniettare ransomware nei sistemi target.
Focus su ProxyShell
Se tutto ciò suona familiare è perché il servizio Exchange non è nuovo a vulnerabilità risultanti in Remote Code Execution. CVE-2022-41040 insieme a CVE-2022-41082 danno luogo ad una procedura di exploitation denominata da alcuni ProxyNotShell.
Questo nome ha origine dalla contrapposizione con un’altra procedura, che ha catturato l’attenzione degli esperti di sicurezza informatica di tutto il mondo durante il 2021: ProxyShell.
ProxyShell è una concatenazione di tre vulnerabilità distinte, sfruttate sequenzialmente al fine di massimizzare le probabilità di successo.
Gli attaccanti che usano ProxyShell su server vulnerabili possono arrivare anche ad eseguire del codice malevolo direttamente sul sistema vittima.
Una peculiarità che rende estremamente pericolosa ProxyShell è che gli attaccanti non hanno necessità di avere una qualche autorizzazione per sfruttare la vulnerabilità, come invece avviene per la successiva ProxyNotShell.
Scoperta agli inizi del 2021, viene neutralizzata da alcuni aggiornamenti rilasciati tra marzo e maggio. Tuttavia, come troppo spesso accade, molte organizzazioni hanno tardato le operazioni di adeguamento, concedendo di fatto il fianco a facili attacchi.
Mesi dopo la scoperta, gli esperti di sicurezza informatica ricevono ancora notifiche di sfruttamento di questa vulnerabilità. Cosa si può evincere dai più recenti attacchi?
Da quello che si è potuto osservare, gli attaccanti agiscono in modo subdolo: invece di muoversi lateralmente nel sistema per reperire informazioni, evitano di sollecitare i sistemi di sicurezza e, una volta in grado di utilizzare le funzionalità di Exchange, mandano delle e-mail di phishing agli utenti.
In allegato alle e-mail corrotte vi è un file Word o Excel che, se eseguito, innesca una “reazione a catena silenziosa“.
Nel file corrotto è inserita una macro, atta ad innescare il download di uno strumento ‘mediatore’ chiamato SQUIRRELWAFFLE. Questo strumento recupera i payload finali (malware, ransomware ecc…), tipicamente:
- Qbot
- CobaltStrike
Possibili rimedi alle falle di sicurezza in Exchange Server
CVE-2022-41040 e CVE-2022-41082 si originano da alcuni plug-in difettosi.
Questi componenti sono presenti nelle applicazioni installate sui sistemi che utilizzano i servizi Exchange, tanto che chi non è amministratore di sistema e utilizza la versione web dell’interfaccia non deve applicare alcun cambiamento.
Nel novembre 2022, sono state rilasciate delle patch di sicurezza che eliminano definitivamente il problema. Nel caso si faccia uso di Exchange Server è opportuno predisporre quanto prima i propri sistemi al più recente aggiornamento.
Successivamente alla scoperta delle criticità di sicurezza nei Server Exchange, Microsoft ha pubblicato delle linee guida che aiutano a mitigare il problema e complicare il lavoro ad eventuali attaccanti.
Tali metodi non sono completamente risolutivi, e nella maggior parte dei casi, prevedono l’intervento di un amministratore di sistema.
Il colosso di Redmond, perciò, rende disponibile Exchange Emergency Mitigation (EM), un servizio per l’applicazione automatica delle più recenti mitigazioni in risposta a nuove vulnerabilità.
Un registro in cloud racchiude le misure di mitigazione da adottare, il servizio EM le scarica e le applica in automatico. Nel caso specifico di queste vulnerabilità, le mitigazioni sono state aggirate poche settimane dopo il loro rilascio, a sottolineare il fatto che azioni palliative possono andare bene in casi di emergenza, ma non possono sostituire gli aggiornamenti e le patch di sicurezza.
Conclusioni
Tra la miriade di servizi offerti dall’azienda di Gates, Microsoft Exchange è uno strumento che aiuta a gestire
- la comunicazione
- la condivisione di obiettivi
La grande mole di utenti e la possibile criticità dei dati che viaggiano sui server fanno sì che Exchange sia tenuto d’occhio sia da addetti ai lavori che da criminali.
È così che sia nel 2021 che nel 2022 sono state scoperte delle vulnerabilità 0-Day all’interno dei sistemi Exchange che consentivano la sua exploitation nella forma di RCE.
In entrambi i casi, l’allarme è rientrato grazie a delle patch, ma i riflettori sono ancora una volta puntati sulla sicurezza informatica.
Tenere i prodotti aggiornati è il minimo, mentre automatizzare l’implementazione di soluzioni di mitigazione, magari con la consulenza di esperti del settore, può fare la differenza tra eventi catastrofici ed eventi gestibili.
In ultimo, è importante anche sensibilizzare gli utenti ai pericoli del web e tenerli costantemente aggiornati su questo tema.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.