Microsoft Exchange Hack: come è stato possibile e come prevenirlo.
L'hack di Microsoft Exchange è stato uno dei peggiori hack della storia, ma sicuramente non è stato l'ultimo.
Microsoft Exchange hack
In cosa consisteva l’hack di Microsoft Exchange?
Nel gennaio 2021 diversi exploit zero-day sono stati segnalati a Microsoft, che hanno permesso a malintenzionati di accedere in remoto ai server Microsoft Exchange. Il 2 marzo, Microsoft ha pubblicato una patch per chiudere queste vulnerabilità. Tuttavia, a tutt’oggi non tutti i server Exchange sono stati patchati, quindi gli attacchi continuano.
Come è stato possibile l’attacco a Microsoft Exchange?
Le vulnerabilità zero-day sono vulnerabilità del software informatico che sono sconosciute al fornitore di un software. Nel caso di Microsoft Exchange, le vulnerabilità molto probabilmente esistevano dal 2010. I server Exchange utilizzati da decine di migliaia di aziende, enti pubblici e altre organizzazioni eseguivano il software interessato sui loro server Exchange ospitati localmente.
L’enorme quantità di server Exchange in uso, così come il tempo necessario ad ogni singola organizzazione per patchare i propri server, ha aperto la porta a malintenzionati per abusare di queste vulnerabilità - anche dopo che la patch era disponibile.
Solo negli Stati Uniti, almeno 30.000 organizzazioni sono state attaccate.
Timeline
Gennaio
La vulnerabilità di Microsoft Exchange che permette ad un attaccante di bypassare l’autenticazione e impersonare l’amministratore di quel server è stata segnalata per la prima volta da un ricercatore di sicurezza principale per la società di test di sicurezza DEVCORE che va sotto il nome di “Orange Tsai”.
Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝
— Orange Tsai 🍊 (@orange_8361) January 5, 2021
Più tardi nello stesso mese, la società di sicurezza Dubex avvisa Microsoft di attacchi su una nuova falla di Exchange.
Febbraio
All’inizio di febbraio la società di sicurezza Volexity avverte Microsoft di attacchi attivi su vulnerabilità Exchange precedentemente sconosciute.
L’8 febbraio, Microsoft dice a Dubex che ha “intensificato” la sua segnalazione internamente.
Marzo
Il 2 marzo, Microsoft rilascia aggiornamenti per patchare quattro falle zero-day in Exchange.
Tuttavia, lo sfruttamento di massa mirato delle vulnerabilità è già iniziato il 28 febbraio.
Il 12 marzo, Microsoft dice che ci sono ancora 82.000 server non patchati esposti.
Ad oggi, un sacco di server Microsoft Exchange ospitati localmente rimangono senza patch e sono ancora vulnerabili a questi exploit.
Gli aggressori
Microsoft ha detto che l’attacco è stato inizialmente commesso da HAFNIUM, un gruppo di hacking cinese sponsorizzato dallo stato. Microsoft ha identificato HAFNIUM come “un attore altamente qualificato e sofisticato”. I sistemi di posta elettronica della società sono stati presi di mira per esfiltrare “informazioni da un certo numero di settori industriali, compresi i ricercatori di malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, think tank politici e ONG” Secondo Microsoft, questa è stata “l’ottava volta negli ultimi 12 mesi che Microsoft ha pubblicamente rivelato gruppi di stato-nazione che prendono di mira le istituzioni critiche per la società civile” Successivamente, le vulnerabilità sono state sfruttate anche da altri aggressori.
Cosa possiamo fare per proteggere i nostri dati
In primo luogo, dobbiamo riconoscere che raggiungere la sicurezza online è un compito difficile. Mentre la maggior parte dei fornitori di hosting sono molto bravi a riparare immediatamente le vulnerabilità, la sicurezza per molte aziende è anche una questione di fiducia.
La fiducia è la ragione principale per cui le aziende, in particolare in Germania, preferiscono ancora ospitare i loro dati in casa. Questo è completamente comprensibile: Se sai dove si trova il server, se sai chi ha accesso ai server, ti fidi del fatto che i dati su questi server sono tenuti al sicuro.
L’alternativa - ospitare i dati della tua azienda nel cloud, in altre parole, sui server di altre persone - sembra molto più rischioso e non affidabile. E la verità è che queste aziende hanno ragione: se ospitate i vostri dati nel cloud, dovete fidarvi che il fornitore di hosting mantenga i dati al sicuro con tutti i mezzi. Questo include anche che il provider deve tenere i dati al sicuro dai propri dipendenti, il che è quasi impossibile. Una recente indagine di Bellingcat ha mostrato quanto possa essere facile ottenere dati personali sensibili dai dipendenti.
La crittografia è inevitabile
La fiducia, tuttavia, può essere costruita aggiungendo un altro livello di sicurezza: la crittografia Ende-zu-Ende.
Qualsiasi dato che è crittografato Ende-zu-Ende rimane inaccessibile dal fornitore di servizi. Tutanota, per esempio, è uno di questi servizi che cripta quanti più dati possibili.
Di conseguenza, Tutanota e tutti i suoi dipendenti hanno accesso zero ai dati crittografati dei clienti. Inoltre, se un malintenzionato fosse in grado di accedere ai server, avrebbe accesso solo ai dati crittografati, il che rende i dati inutilizzabili per lo spionaggio industriale da parte di attori statali stranieri.
I fornitori di servizi cloud di solito hanno una chiara attenzione alla sicurezza. Dopotutto, è loro responsabilità applicare rapidamente delle patch alle vulnerabilità. Questo libera le aziende che ospitano i loro dati con un cloud provider dal compito di aggiornare manualmente i loro server. Ciò che è richiesto in aggiunta è che il fornitore di servizi cloud applichi anche la crittografia Ende-zu-Ende ai dati dei clienti.
Fare bene la sicurezza
Gli hack di Microsoft Exchange dimostrano che fare bene la sicurezza è difficile.
È particolarmente difficile per le piccole e medie imprese, il che è sottolineato dal fatto che ancora oggi migliaia di server Exchange rimangono senza patch.
Con la crittografia Ende-zu-Ende che diventa disponibile in sempre più servizi come Tutanota, è il momento di riconoscere che ospitare i dati nel cloud criptato può essere un’alternativa affidabile per molte aziende.