Una serie di vulnerabilità di Microsoft Exchange sono state utilizzate da un gruppo di cybercriminali cinesi per accedere alle caselle di posta elettronica delle aziende al fine di sottrarne il contenuto. Microsoft consiglia di aggiornare il software, che è molto usato anche in Italia
Microsoft Exchange, software per la collaborazione aziendale tramite la rete, è finito nel mirino di un gruppo di cybercriminali cinesi che stanno attivamente sfruttando delle vulnerabilità zero-day per violare, attaccare e sottrarre il contenuto degli account di posta elettronica aziendale.
Solamente in Italia potrebbero essere interessate migliaia di aziende che si affidano al software di Microsoft. La stessa società di Redmond ha caldamente invitato tutti i suoi clienti a eseguire l’aggiornamento del software per ricevere così le patch che andranno a riparare le vulnerabilità e a escludere i possibili rischi d’intrusione, simili a quelli subiti dagli stati uniti con l’attacco a SolarWinds.
La segnalazione di Microsoft indicano che le vulnerabilità zero-day sfruttate attivamente riguardano Exchange Server 2010, Exchange Server 2013, Exchange Server 2016 ed Exchange Server 2019, ossia tutte le versioni in commercio del software esclusa Exchange Online. Le vulnerabilità individuate in questi software sono almeno quattro e una in particolare, quella identificata con il codice CVE-2021-26855, è stata utilizzata per compiere degli attacchi informatici che hanno permesso ai cybercriminali di sottrarre l’intero contenuto di numerosi account di posta elettronica.
Per compiere la violazione, i cybercriminali hanno sfruttato la vulnerabilità per accedere tramite una connessione da remoto attraverso la porta 443, inviando delle richieste http eseguendo un’autenticazione come Exchange Server. Questo bug farebbe parte di una catena di vulnerabilità che, sfruttate nella maniera corretta, avrebbero spalancato le porte delle caselle di posta elettronica.
Il gruppo di cybercriminali che sta sfruttando queste vulnerabilità è stato identificato con il nome di Hafnium. “Hafnium opera dalla Cina, ed è la prima volta che parliamo di tali attività. Si tratta di un attore altamente qualificato con capacità ricercate”, spiega Tom Burt, vicepresidente corporate di Microsoft e responsabile del settore Customer Security & Trust, nel report della società. Si tratterebbe quindi di un gruppo di hacker cinesi con interessi in bersagli nei settori di ricerca, della difesa e del settore industriale. Allo stesso modo Hafnium mirerebbe a colpire anche organizzazioni politiche e non governative sempre con lo scopo di compiere attacchi di cyberspionaggio.
Secondo gli esperti di Yoroi, società di cybersecurity, sarebbero numerose le società che in Italia usano questo software e che in questo momento, se non aggiornassero Exchange Server, potrebbero essere esposte a potenziali attacchi informatici e fughe di dati.
Leggi anche
Potrebbe interessarti anche