Vulnerabilità Microsoft Exchange: protezione con Kaspersky

Nelle settimane scorse, alcune aziende sono state attaccate a causa di una vulnerabilità di Microsoft Exchange 2010, Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 e Microsoft Exchange Server 2019.

Secondo il bollettino di sicurezza Microsoft, sono state individuate quattro gravi vulnerabilità:

• CVE-2021-26855, che può essere utilizzata per eseguire codice da remoto;
• CVE-2021-26857, che può essere utilizzata per eseguire un codice arbitrario per conto del sistema
• CVE-2021-26858 e CVE-2021-27065, che possono essere per sovrascrivere i file sul server.

Dalle informazioni in possesso dagli analisti di sicurezza Microsoft, queste quattro vulnerabilità sono state sfruttate dai cybercriminali del gruppo Hafnium per orchestrare un attacco che ha colpito organizzazioni di tutto il mondo, Italia inclusa.
Facendo ricorso a credenziali ottenute in precedenza, oppure sfruttando la vulnerabiltà CVE-2021-26855, gli attaccanti sono riusciti ad accedere ad un server Exchange, poi – sfruttando le altre tre vulnerabilità – hanno creato una web shell per l’accesso da remoto al server, riuscendo così a rubare dati dalla rete della vittima.

Come proteggersi dalle vulnerabilità Microsoft: il componente Exploit Protection

Microsoft ha rilasciato le patch di sicurezza per correggere le vulnerabilità ed evitare che i cybercriminali possano continuare a sfruttarle per attaccare altri sistemi. I prodotti di protezione Kaspersky sono pronti a riconoscere il tentativo di attacco, riconosciuto con i nomi:

• Exploit.Win32.CVE-2021-26857.gen
• HEUR:Exploit.Win32.CVE-2021-26857.a

E sono in grado di individuare anche se la backdoor sfruttata dai Cybercriminali per rubare i dati risulta installata, riconoscendola con i nomi:

• HEUR:Trojan.ASP.Webshell.gen
• HEUR:Backdoor.ASP.WebShell.gen
• UDS:DangerousObject.Multi.Generic

Tuttavia il componente Exploit Protection – incluso nelle soluzioni Kaspersky – ha limitato i danni ed ha protetto dall’infezione molti sistemi Microsoft Exchange, ancor prima che le vulnerabilità venissero scoperte e fossero rilasciate le firme per individuare Exploit e Backdoor.

Come funziona Exploit Protection?

La tecnologia di Exploit Prevention monitora i tentativi di modificare o interrompere il flusso di esecuzione delle applicazioni e verifica che l’azione tentata sia legale. Exploit Prevention applica inoltre una serie di misure di mitigazione della sicurezza, che permettono di affrontare la maggior parte delle tecniche di attacco utilizzate negli exploit, tra cui Dll Hijacking, Reflective Dll Injection, Heap Spray Allocation, Stack Pivot. Intervenendo sulle anomalie del flusso di esecuzione e non sulla vulnerabilità individuata, Exploit Prevention è efficace non soltanto per la prevenzione di vulnerabilità note, ma anche su vulnerabilità sconosciute. Proprio grazie a questa particolarità ha permesso a molti sistemi Microsoft Exchange, protetti da prodotti Kaspersky, di rimanere al sicuro dagli ultimi attacchi. 

Come capire se i propri sistemi sono stati colpiti: gli indicatori di compromissione

Microsoft ha rilasciato alcuni tool, che eseguiti sul server Microsoft Exchange, vanno alla ricerca di alcuni Indicatori di Compromissione e permettono di identificare i sistemi colpiti. Questo tipo di ricerca è una tattica di difesa sempre più utilizzata ed è già inclusa all’interno del framework Kaspersky EDR Optimum.

Gli indicatori di compromissione sono delle tracce lasciate sul sistema dall’attività del criminale. Possono essere paragonati ad una finestra forzata sul retro di una casa che è stata derubata. L’indizio consente di individuare il passaggio del criminale anche quando non si trova più all’interno dell’edificio. Se poi il destino ci è favorevole, potremmo trovare delle impronte digitali che ci permettono poi di identificare il ladro e collegarlo ad altri furti, oppure ritrovarlo in una banca dati ed identificarlo.

Altrettanto avviene in ambito informatico, con una differenza sostanziale. Spesso le intrusioni informatiche rimangono latenti per mesi. Durante questo periodo il cybercriminale crea dei meccanismi per tenere persistente la sua presenza: installa delle backdoor, studia il perimetro, identifica le tecniche di protezione, analizza la struttura dei sistemi, può rubare delle informazioni, ed infine compiere delle azioni di danneggiamento, come ad esempio un attacco ransomware.

In questi casi la possibilità di individuare gli Indicatori di Compromissione aumenta notevolmente la capacità di Detection del sistema di protezione. Il codice utilizzato, spesso non è comune, ma scritto appositamente dal criminale per studiare la vittima e colpirla nel modo più efficace possibile. Questa peculiarità lo rende poco individuabile dai tradizionali sistemi anti-malware. Nemmeno un eventuale passo falso, come ad esempio la rilevazione di parte del codice malevolo, costituisce un vero e proprio ostacolo per il cybercriminale perché, difficilmente dopo l’individuazione e blocco della minaccia non vengono svolti ulteriori approfondimenti.

Kaspersky EDR Optimum: proteggere i sistemi anche dalle vulnerabilità sconosciute

Il framework EDR Optimum invece analizza automaticamente il malware identificato e sempre in maniera automatizzata estrae gli indicatori di compromissione: indirizzi IP verso cui sono state fatte delle connessioni, hash ulteriori file scaricati dall’oggetto malevolo individuato, chiavi di registro su cui l’oggetto ha interferito. Una volta estratti questi elementi viene eseguita una scansione automatica degli oggetti per individuare altre parti di codice, che al momento non sono ancora state classificate come malevole, ma essendo collegate alla minaccia, potrebbero consentire al cybercriminale di eseguire nuovi attacchi.

Inoltre EDR Optimum permette di importare manualmente elenchi di indicatori di compromissione, che vengono rilasciati nei bollettini di sicurezza quando una nuova minaccia o campagna d’attacco viene scoperta. Questa funzionalità consente di verificare precocemente se i sistemi sono stati compromessi, anche se l’attacco non ha ancora prodotto effetti visibili, facilitando l’adozione tempestiva di contromisure.

Kaspersky EDR Optimum migliora anche la possibilità di rispondere agli attacchi: permette di isolare l’host infetto oppure previene l’esecuzione di oggetti software. Nel caso del recente attacco ai server Microsoft la protezione Kaspersky ha bloccato preventivamente l’esecuzione della webshell iniettata dal cybercriminale.

La complessità degli attacchi è in costante crescita ed è necessario migliorare le proprie tecniche di individuazione e di risposta. Ad un Endpoint Protection già molto efficace, è opportuno affiancare strumenti automatici di protezione come Kaspersky EDR Optimum, soprattutto nelle realtà più strutturate che non hanno un reparto IT o dei servizi esterni dedicati alla risposta agli incidenti.