In aumento gli attacchi che utilizzano le vulnerabilità di Microsoft Exchange Server

1/4 delle vulnerabilità vendute nel mercato cybercriminale ha più di tre anni

Kaspersky ha rilevato attacchi di questo tipo rivolti ad oltre 1200 utenti e ha osservato come questo numero sia in continua crescita

Il 2 marzo 2021, diverse aziende hanno pubblicato alcuni report in merito allo sfruttamento in-the-wild di diverse vulnerabilità zero-day in Microsoft Exchange Server. Queste vulnerabilità permettono di eseguire un codice arbitrario all’interno del contesto di Exchange Server e di dare accesso completo agli account di posta elettronica sul server. Nonostante Microsoft abbia già rilasciato la patch, i ricercatori di Kaspersky stanno assistendo ad un incremento di attacchi che tentano di sfruttare queste vulnerabilità. Le organizzazioni situate in Europa e negli Stati Uniti sono le più colpite.

All’inizio di marzo 2021, Kaspersky ha rilevato attacchi di questo tipo rivolti ad oltre 1200 utenti e ha osservato come questo numero sia in continua crescita. Il numero più alto di utenti presi di mira si trova in Germania con il 26,93%. L’Italia, l’Austria, la Svizzera e gli Stati Uniti sono tra gli altri Paesi maggiormente colpiti.

Paese % di utenti
Germania 26.93%
Italia 9.00%
Austria 5.72%
Svizzera 4.81%
Stati Uniti 4.73%

Numero di utenti attaccati in relazione alle nuove vulnerabilità di Microsoft Exchange Server secondo la telemetria di Kaspersky, marzo 2021

“Fin dall’inizio, ci era chiaro che i tentativi di sfruttare queste vulnerabilità sarebbero aumentati rapidamente ed è quello che stiamo osservando in questi giorni. Fino ad ora abbiamo rilevato questo tipo di attacchi in oltre un centinaio di Paesi situati in ogni parte del mondo. A causa della natura di queste vulnerabilità, numerose organizzazioni sono a rischio. Anche se gli attacchi iniziali miravano a target specifici non c’è motivo di pensare che gli attaccanti non vogliano provare a colpire altre organizzazioni con un server vulnerabile. Questi attacchi sono associati ad un rischio elevato di furto di dati o anche ad attacchi ransomware. Per questo motivo le organizzazioni dovrebbero prevedere misure di protezione nel più breve tempo possibile”, ha commentato Anton Ivanov, VP Threat Research di Kaspersky.

Leggi anche:  1/4 delle vulnerabilità vendute nel mercato cybercriminale ha più di tre anni

I prodotti di Kaspersky rilevano la minaccia e proteggono dalle vulnerabilità di Microsoft Exchange Server scoperte di recente utilizzando diverse tecnologie, tra cui i componenti Behavior Detection e Exploit Prevention. Kaspersky rileva lo sfruttamento e i relativi artefatti con i seguenti nomi:

  • Win32.CVE-2021-26857.gen
  • HEUR:Exploit.Win32.CVE-2021-26857.a
  • HEUR:Trojan.ASP.Webshell.gen
  • HEUR:Backdoor.ASP.WebShell.gen
  • UDS:DangerousObject.Multi.Generic
  • PDM:Exploit.Win32.Generic

Per proteggersi dagli attacchi che sfruttano questa vulnerabilità, Kaspersky raccomanda di:

  • Aggiornare Exchange Server il prima possibile.
  • Concentrare la strategia di difesa sul rilevamento dei movimenti laterali e sull’esfiltrazione dei dati su Internet. Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici. Eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza.
  • Utilizzare soluzioni come Kaspersky Endpoint Detection and Response e il servizio Kaspersky Managed Detection and Response che aiutano a identificare e fermare l’attacco nelle prime fasi, prima che gli attaccanti raggiungano i loro obiettivi.
  • Utilizzare una soluzione affidabile per la sicurezza degli endpoint come Kaspersky Endpoint Security for Business dotata di prevenzione degli exploit, behavior detection e remediation engine che consentono di respingere le azioni dannose. Questa soluzione ha anche meccanismi di autodifesa che possono impedire la sua rimozione da parte dei criminali informatici.