Rilevare e rispondere allo sfruttamento della vulnerabilità Zero-Day di Microsoft

Rilevare e rispondere allo sfruttamento della vulnerabilità Zero-Day di Microsoft

A partire da gennaio 2021, Mandiant Managed Defense ha osservato molteplici casi di attacco a Microsoft Exchange Server in almeno uno degli ambienti di un cliente.

L’attività osservata comprendeva la creazione di web shell per un accesso persistente, l’esecuzione di codice da remoto e l’enumerazione delle soluzioni di sicurezza degli endpoint.

L’indagine condotta da Mandiant ha rivelato che i file creati sui server Exchange erano creati con privilegi NT AUTHORITY\SYSTEM, un account locale privilegiato sul sistema operativo Windows. Il processo che aveva creato la web shell, inoltre, era UMWorkerProcess.exe, responsabile del servizio di Unified Messaging di Exchange. Nelle indagini condotte, sono stati inoltre osservati file malevoli creati da w3wp.exe, il processo che è responsabile del front-end web di Exchange Server.

“In risposta a questa attività, abbiamo dato il via a campagne di threat hunting progettate per identificare l’avvenire di ulteriori abusi di Exchange Server”, dichiara Gabriele Zanoni, Senior Strategic Consultant di Mandiant. “Inoltre, abbiamo utilizzato questi dati per effettuare dei monitoraggi dettagliati sulla componente di web server di Exchange”.

Il 2 marzo 2021, Microsoft ha pubblicato un post sul suo blog con i dettagli di molteplici vulnerabilità zero-day utilizzate per compromettere le versioni on-premise di Microsoft Exchange Server, e ha rilasciato delle patch di emergenza per le vulnerabilità di Exchange Server.

Quanto riportato da Microsoft si allinea con le indagini condotte da FireEye che traccia l’attività in tre cluster: UNC2639, UNC2640 e UNC2643.

“Prevediamo di rilevare ulteriori cluster mano a mano che rispondiamo alle intrusioni. Per cercare di mitigare l’attacco raccomandiamo di seguire la guida di Microsoft e di applicare immediatamente le patch di Exchange Server”, aggiunge Zanoni.

Leggi anche:  A giugno, l’Italia di nuovo sotto assedio dal malware Trickbot

Sulla base della telemetria, FireEye ha identificato una serie di vittime colpite tra cui: retailer con sede negli Stati Uniti, enti locali, Università e società di ingegneria. Sono state osservate anche attività malevole verso un Governo del sud est asiatico e verso un’azienda di telecomunicazioni dell’Asia centrale. Microsoft ha riferito inoltre che lo sfruttamento della vulnerabilità è legato a un unico gruppo di aggressori, denominato “HAFNIUM”, un gruppo che ha precedentemente preso di mira diverse società nell’ambito della difesa e con sede negli Stati Uniti, studi legali, enti di ricerca sulle malattie infettive e think tank.

Dall’exploit alla web shell

A partire da gennaio 2021, Mandiant Managed Defense ha osservato la creazione di web shell sul file system di un server Microsoft Exchange all’interno dell’ambiente di un cliente. La web shell, denominata help.aspx (MD5: 4b3039cf227c611c45d2242d1228a121), includeva funzioni in grado di eseguire comandi arbitrari e caricare, cancellare e visualizzare il contenuto dei file.

L’utilizzo delle web shell è comune tra gli aggressori, tuttavia controllando i processi di partenza, i tempi e le vittime di questi file indicano chiaramente che l’attività è iniziata con lo sfruttamento di Microsoft Exchange.

Anche a marzo 2021, in un ambiente diverso, FireEye ha osservato un aggressore utilizzare una o più vulnerabilità per posizionare delle web shell su un Exchange Server vulnerabile. Questo viene effettuato dagli aggressori per stabilire una persistenza e anche per avere accesso secondario, come avvenuto in altri casi.

“L’attività che abbiamo rilevato indica che questi aggressori stanno utilizzando le vulnerabilità di Exchange Server per ottenere un punto di appoggio in diversi ambienti”, conclude Zanoni. “A questa attività fanno poi seguito ulteriori meccanismi per ottenere persistenza e accessi”.

Leggi anche:  Phishing nelle app di messaggistica: l’89% dei link dannosi diffusi tramite WhatsApp

Nel blogpost pubblicato sul sito web, FireEye raccomanda di seguire alcuni consigli di investigazione per trovare evidenza di potenziali prove di compromissione.

“Anche se lo sfruttamento delle vulnerabilità di Microsoft Exchange è già in corso, nuove aziende verranno colpite a stretto giro quando queste vulnerabilità entreranno nell’arsenale a disposizione di aggressori motivati finanziariamente che spesso compromettono le aziende per ricattarle mettendo fuori uso i loro sistemi”, dichiara Ben Read, Director of Analysis, Mandiant Threat Intelligence. “Abbiamo visto colpire realtà in tutto il mondo, tra cui alcune anche in Europa. Qualsiasi organizzazione che abbia un server exchange on-premise dovrebbe supporre di essere compromessa. Non abbiamo rilevato un focus su nessuna specifica attività e la nostra valutazione è che gli attaccanti siano impegnati in una scansione per poi scegliere in un secondo momento gli obiettivi di maggior interesse”.

Per chi ritiene che il proprio Exchange Server sia stato compromesso, FireEye consiglia di indagare per determinare la portata dell’attacco e il tempo di permanenza dell’aggressore.