Kaspersky ha rilevato attacchi di questo tipo rivolti ad oltre 1200 utenti e ha osservato come questo numero sia in continua crescita
Il 2 marzo 2021, diverse aziende hanno pubblicato alcuni report in merito allo sfruttamento in-the-wild di diverse vulnerabilità zero-day in Microsoft Exchange Server. Queste vulnerabilità permettono di eseguire un codice arbitrario all’interno del contesto di Exchange Server e di dare accesso completo agli account di posta elettronica sul server. Nonostante Microsoft abbia già rilasciato la patch, i ricercatori di Kaspersky stanno assistendo ad un incremento di attacchi che tentano di sfruttare queste vulnerabilità. Le organizzazioni situate in Europa e negli Stati Uniti sono le più colpite.
All’inizio di marzo 2021, Kaspersky ha rilevato attacchi di questo tipo rivolti ad oltre 1200 utenti e ha osservato come questo numero sia in continua crescita. Il numero più alto di utenti presi di mira si trova in Germania con il 26,93%. L’Italia, l’Austria, la Svizzera e gli Stati Uniti sono tra gli altri Paesi maggiormente colpiti.
| Paese | % di utenti |
| Germania | 26.93% |
| Italia | 9.00% |
| Austria | 5.72% |
| Svizzera | 4.81% |
| Stati Uniti | 4.73% |
Numero di utenti attaccati in relazione alle nuove vulnerabilità di Microsoft Exchange Server secondo la telemetria di Kaspersky, marzo 2021
“Fin dall’inizio, ci era chiaro che i tentativi di sfruttare queste vulnerabilità sarebbero aumentati rapidamente ed è quello che stiamo osservando in questi giorni. Fino ad ora abbiamo rilevato questo tipo di attacchi in oltre un centinaio di Paesi situati in ogni parte del mondo. A causa della natura di queste vulnerabilità, numerose organizzazioni sono a rischio. Anche se gli attacchi iniziali miravano a target specifici non c’è motivo di pensare che gli attaccanti non vogliano provare a colpire altre organizzazioni con un server vulnerabile. Questi attacchi sono associati ad un rischio elevato di furto di dati o anche ad attacchi ransomware. Per questo motivo le organizzazioni dovrebbero prevedere misure di protezione nel più breve tempo possibile”, ha commentato Anton Ivanov, VP Threat Research di Kaspersky.
I prodotti di Kaspersky rilevano la minaccia e proteggono dalle vulnerabilità di Microsoft Exchange Server scoperte di recente utilizzando diverse tecnologie, tra cui i componenti Behavior Detection e Exploit Prevention. Kaspersky rileva lo sfruttamento e i relativi artefatti con i seguenti nomi:
- Win32.CVE-2021-26857.gen
- HEUR:Exploit.Win32.CVE-2021-26857.a
- HEUR:Trojan.ASP.Webshell.gen
- HEUR:Backdoor.ASP.WebShell.gen
- UDS:DangerousObject.Multi.Generic
- PDM:Exploit.Win32.Generic
Per proteggersi dagli attacchi che sfruttano questa vulnerabilità, Kaspersky raccomanda di:
- Aggiornare Exchange Server il prima possibile.
- Concentrare la strategia di difesa sul rilevamento dei movimenti laterali e sull’esfiltrazione dei dati su Internet. Prestare particolare attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici. Eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza.
- Utilizzare soluzioni come Kaspersky Endpoint Detection and Response e il servizio Kaspersky Managed Detection and Response che aiutano a identificare e fermare l’attacco nelle prime fasi, prima che gli attaccanti raggiungano i loro obiettivi.
- Utilizzare una soluzione affidabile per la sicurezza degli endpoint come Kaspersky Endpoint Security for Business dotata di prevenzione degli exploit, behavior detection e remediation engine che consentono di respingere le azioni dannose. Questa soluzione ha anche meccanismi di autodifesa che possono impedire la sua rimozione da parte dei criminali informatici.
