La US Cybersecurity and Infrastructure Security Agency, parte del Dipartimento della Sicurezza Nazionale degli Stati Uniti, ha invitato i dipartimenti governativi ad installare immediatamente l’ultimo aggiornamento software rilasciato per Microsoft Exchange.
Il CISA in azione
“Queste vulnerabilità pongono un rischio inaccettabile per l’impresa federale e richiedono un’azione immediata e di emergenza“, ha detto la CISA in un avviso.
“Questa determinazione è basata sulla probabilità che le vulnerabilità siano armate, combinata con l’uso diffuso del software interessato in tutto il ramo esecutivo e l’alto potenziale per una compromissione dell’integrità e della riservatezza delle informazioni dell’agenzia”.
Sia CISA che Microsoft hanno detto che non sembra che gli hacker abbiano approfittato della debolezza appena scoperta per entrare nei sistemi di posta elettronica Exchange.
“Anche se non siamo a conoscenza di alcun exploit attivo in natura, la nostra raccomandazione è di installare questi aggiornamenti immediatamente per proteggere il vostro ambiente informatico“, ha detto Microsoft in un post sulla patch.
CISA e Microsoft contro Hafnium
CISA e Microsoft hanno detto che le vulnerabilità sono diverse da quelle risolte il mese scorso, quando la società tecnologica statunitense ha rivelato che un gruppo di hacker sponsorizzato dallo stato che opera dalla Cina stava sfruttando le falle di sicurezza nei suoi servizi di posta elettronica di Exchange per rubare dati dagli utenti aziendali.
La società ha detto che il gruppo di hacker, che ha chiamato “Hafnium“, è un “attore altamente qualificato e sofisticato“.
Hafnium in passato ha preso di mira aziende con sede negli Stati Uniti, tra cui ricercatori di malattie infettive, studi legali, università, appaltatori della difesa, think tank e ONG.
I danni dell’attacco a Microsoft Exchange
Si ritiene che il devastante hack abbia colpito almeno 30.000 server di posta elettronica Microsoft in reti governative e private e ha spinto a chiedere una risposta ferma agli attacchi sponsorizzati dallo stato che potrebbe comportare “hacking back” o altre misure.
Microsoft nel mese di marzo ha rilasciato gli aggiornamenti per correggere le falle di sicurezza, che si applicano alle versioni on-premises del software piuttosto che alle versioni basate su cloud, e ha esortato i clienti ad applicarli.
Caccia alle “Web Shells”
I funzionari del Dipartimento di Giustizia degli Stati Uniti martedì hanno annunciato che, con l’appoggio di un tribunale, hanno eliminato le “web shell dannose” che gli hacker avevano installato in centinaia di computer con il software Exchange Server.
Le web shells sono pezzi di codice informatico che permettono agli hacker di raggiungere i computer in remoto ed erano stati piantati all’inizio di quest’anno approfittando di una debolezza in Exchange, secondo un comunicato del Dipartimento di Giustizia.
“L’operazione di oggi ha rimosso le rimanenti web shell di un gruppo di hacker, che avrebbero potuto essere utilizzate per mantenere e aumentare l’accesso persistente e non autorizzato alle reti statunitensi“, hanno detto i funzionari del Dipartimento di Giustizia.
