Homeland Security dichiara "emergenza" l'attacco di Microsoft Exchange

Homeland Security ha dichiarato un'emergenza un attacco in corso contro Microsoft Exchange. Gli attacchi, iniziati all'inizio di questa settimana, prendono di mira i server Microsoft Exchange, mettendo insieme diversi exploit zero-day per accedere ad account di posta elettronica sicuri.

Sicurezza interna: l'attacco è "un rischio inaccettabile"

Homeland Security rilasciato Direttiva di emergenza 21-02 alla fine del 3 marzo, fornendo alcune informazioni di base sull'attacco a Microsoft Exchange.

I partner CISA hanno osservato lo sfruttamento attivo delle vulnerabilità nei prodotti locali di Microsoft Exchange. Né le vulnerabilità né l'attività di exploit identificata sono attualmente note per influenzare le distribuzioni di Microsoft 365 o Azure Cloud. Lo sfruttamento efficace di queste vulnerabilità consente a un utente malintenzionato di accedere ai server Exchange locali, consentendo loro di ottenere l'accesso al sistema e il controllo persistenti di una rete aziendale.

La direttiva spiega poi che un attacco di questa natura "pone un rischio inaccettabile per le agenzie del ramo esecutivo civile federale e richiede un'azione di emergenza".

Homeland Security ha fissato una scadenza alle 12 PM EST di venerdì 5 marzo, affinché le agenzie federali si conformino ai protocolli di analisi e mitigazione stabiliti nella direttiva.

Attualmente, ogni agenzia deve identificare i propri server Microsoft Exchange, completare una valutazione forense del proprio sistema memoria, registri e hive del registro, quindi analizzare i risultati per eventuali indicatori di furto di credenziali o altro compromessi.

Relazionato: Le migliori alternative gratuite a Microsoft Outlook

Chi sta attaccando i server Microsoft Exchange?

Microsoft ha puntato la cifra esattamente su un gruppo di hacker di uno stato nazionale cinese noto come HAFNIUM. Di solito, le aziende impiegano un po 'più di tempo prima di impegnarsi a nominare un sospetto, ma Microsoft non ha dubbi sul fatto che un "attore altamente qualificato e sofisticato" sia dietro l'attacco.

Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna con grande fiducia a HAFNIUM, un gruppo valutato per essere sponsorizzato dallo stato e operante fuori dalla Cina, sulla base di vittimologia osservata, tattiche e procedure.

In parte il motivo è che l'attacco di Microsoft Exchange mette insieme quattro vulnerabilità precedentemente sconosciute. Puoi leggere i dettagli sull'ufficialità Blog sulla sicurezza di Microsoft.

Microsoft rileva inoltre di aver osservato HAFNIUM interagire con la sua suite Microsoft Office 365, sondando le vulnerabilità. Ha anche confermato che questo attacco non ha alcuna relazione con SolarWinds, l'enorme attacco informatico che ha colpito diverse agenzie governative degli Stati Uniti, insieme a diverse aziende tecnologiche leader.

Relazionato: Microsoft rivela l'effettivo obiettivo dell'attacco informatico di SolarWinds

La buona notizia è che mentre questi attacchi sono in corso e rappresentano una minaccia significativa contro Microsoft Exchange Servers, il team di sicurezza di Microsoft ha già implementato una serie di patch per mitigare il problema vulnerabilità.

È possibile trovare ulteriori dettagli sulle patch di Microsoft Exchange Server in Sito della community Microsoft Tech, incluso come scaricare e installare gli aggiornamenti, nonché come eseguire la scansione dei server Exchange alla ricerca di segni di compromissione.

6 semplici modi per aumentare la sicurezza in Microsoft Defender e Windows 10

Microsoft Defender è uno strumento di sicurezza integrato in Windows 10. Rendilo ancora migliore con questi 6 semplici miglioramenti alla sicurezza.

Circa l'autore