Gli hacker stanno di nuovo puntando gli occhi sui server di Microsoft, cercando di trovare degli exploit in grado di sfruttare le vulnerabilità già individuate sul software online
I server di Microsoft Exchange stanno nuovamente destando l’interesse dei cybercriminali che stanno attivamente cercando dei difetti nel ProxyShell Rce del software di rete dopo che i dettagli tecnici sono stati rilasciati durante la conferenza sulla sicurezza informatica Black Hat.
Secondo quanto riportato anche da Security Affairs, gli attori malevoli hanno iniziato a scansionare attivamente i difetti di esecuzione del codice remoto del software.
Con il nome ProxyShell si identifica un insieme di 3 vulnerabilità che potrebbero essere concatenate da un aggressore da remoto che, in maniera non autenticata e con intenzioni malevole, cerchi di sfruttarle al fine di ottenere l’esecuzione di un codice sui server di Microsoft Exchange.
Le tre vulnerabilità in questione (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) sono già state corrette da Microsoft tra aprile e maggio 2021 a seguito dell’attacco ai danni del software che ha coinvolto migliaia di aziende in tutto il mondo.
Queste tre vulnerabilità sono state scoperte dal ricercatore di sicurezza Tsai Orange di Devcore durante il concorso Pwn20wn. Grazie al programma di bug-bounty di Microsoft, questa scoperta ha fruttato al ricercatore 200mila dollari di premio ad aprile 2021. Durante la recente conferenza Black Hat, Tsai Orange ha condiviso i dettagli su queste vulnerabilità spiegando come vengono sfruttate in remoto tramite il Client Access System (Cas) di Microsoft Exchange in esecuzione sulla porta 443 in IIS.
Durante il suo discorso Tsai ha spiegato che la catena di attacchi ProxyShell prende di mira più componenti in Microsoft Exchange, incluso il servizio di individuazione automatica che viene utilizzato dalle applicazioni client per configurarsi con il minimo input dell’utente.
Altri ricercatori di sicurezza, tra cui il noto esperto di cybersecurity Kevin Beaumont, hanno individuato poi numerosi tentativi di prendere di mira le installazioni di Microsoft Exchange sfruttando le 3 vulnerabilità e cercando di creare i propri exploit basandosi sui successi di Tsai. Il consiglio di Beaumont è quello di bloccare l’ip 185.18.52.155 per impedire a questo attore di sondare i server Miscorsoft Exchange contro il servizio di individuazione automatica.
Per prevenire un qualsiasi attacco che sfrutti queste tre vulnerabilità è bene aggiornare Microsoft Exchange assicurandosi di installare i recenti aggiornamenti di sicurezza rilasciati dal colosso di Redmond.
Leggi anche