Microsoft afferma che gli hacker cinesi sono responsabili degli attacchi di scambio

Microsoft afferma che gli hacker cinesi sono responsabili degli attacchi di scambio

Microsoft ha ricevuto un avvertimento per i suoi clienti martedì e sta gridando audacemente i cattivi attori. Secondo Microsoft, gli hacker cinesi sono dietro gli attacchi di Exchange. La società afferma che le aziende americane sono state prese di mira dagli exploit di un difetto nel prodotto di posta elettronica.

Gli aggressori cinesi sfruttano Microsoft Exchange

Microsoft ha richiamato l’attenzione su quattro vulnerabilità zero-day scoperte di recente. L’azienda ha collegato gli attacchi di Exchange alle patch e a un elenco di indicatori di compromissione.

I ricercatori dell’azienda hanno etichettato il gruppo di hacker come “HAFNIUM”. Hanno spiegato che il gruppo è un “attore altamente qualificato e sofisticato” con un focus sullo spionaggio attraverso il furto di dati. HAFNIUM è noto per perseguire diverse entità statunitensi, tra cui “ricercatori in malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, gruppi di esperti politici e ONG”, secondo i ricercatori.

Gli attacchi di Exchange hanno portato all’esfiltrazione di dati dagli account di posta elettronica. Gli hacker ottengono l’accesso a un server Exchange sfruttando zero giorni. Spesso hanno utilizzato una shell web e dirottano i server in remoto. Ciò consente loro di rubare dati da una rete associata. Microsoft ha affermato che questi attacchi sono stati lanciati da server privati ​​con sede negli Stati Uniti.

Tom Burt, vicepresidente aziendale Microsoft per la sicurezza dei clienti, ha esortato i clienti di Exchange ad aggiornare rapidamente le falle di sicurezza. “Anche se abbiamo lavorato rapidamente per distribuire un aggiornamento per gli exploit HAFNIUM, sappiamo che molti attori di stati-nazione e gruppi criminali si muoveranno rapidamente per trarre vantaggio da eventuali sistemi privi di patch. L’applicazione tempestiva delle patch odierne è la migliore protezione contro questo attacco “, ha affermato.

I ricercatori di due società di sicurezza separate, Volexity e Dubex, hanno portato gli attacchi di Exchange all’attenzione di Microsoft. I ricercatori di Volexity hanno trovato prove degli attacchi del 6 gennaio.

Microsoft Exchange attacca i dati

In un post sul blog, i ricercatori hanno affermato: “Attraverso la sua analisi della memoria di sistema, Volexity ha stabilito che l’aggressore stava sfruttando una vulnerabilità SSRF (server-side request forgery) zero-day in Microsoft Exchange (CVE-2021-26855). L’autore dell’attacco utilizzava la vulnerabilità per rubare l’intero contenuto di diverse cassette postali degli utenti. Questa vulnerabilità è sfruttabile in remoto e non richiede alcun tipo di autenticazione, né alcuna conoscenza speciale o accesso a un ambiente di destinazione. L’autore dell’attacco deve solo conoscere il server che esegue Exchange e l’account da cui desidera estrarre la posta “.

Non associato a “SolarWinds”

Microsoft lo sta ottenendo da tutte le angolazioni ultimamente. Sono anche impigliati nel pasticcio di SolarWinds. Ma secondo l’azienda, l’attacco a Exchange non è collegato a Solar Winds.

Non è stato annunciato quante aziende siano state colpite dagli attacchi di Exchange. Si ritiene inoltre che HAFNIUM potrebbe non agire da solo e che potrebbe essere più coinvolto. Le autorità federali sono state informate sugli attacchi di Exchange.

Leggi l’avviso che Microsoft ha emesso lo scorso autunno in merito a un picco di attacchi informatici a causa della pandemia.

Torna su