L'attacco a Microsoft Exchange: come identificarlo

Il 2 marzo sono state pubblicate quattro vulnerabilità Microsoft CRITICHE (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065), legate a un exploit 0-day di Microsoft Exchange Server. Le vulnerabilità, se sfruttate “in catena”, permettono agli attaccanti di ottenere accessi illegittimi a diversi server Exchange on-premise esposti su Internet.

L’attacco può essere molto pericoloso a causa della semplicità di utilizzo di queste vulnerabilità. Il gruppo APT (Advanced Persistent Threat) HAFNIUM, facente riferimento al territorio cinese sta effettuando attacchi su larga scala al di fuori del proprio territorio, principalmente negli Stati Uniti, ma ne è impattato anche il territorio italiano ed europeo. L’indicizzazione Shodan a cui i Threat Actors fanno riferimento, vedevano esposte più di 266mila macchine il giorno 4 marzo. Oggi, dopo 6 giorni, il numero è sceso a 97mila.

Microsoft potrebbe aver appreso delle vulnerabilità attorno al 5 gennaio e impiegato quindi due mesi a rilasciare le patch correttive. Tempo che è stato proficuamente impiegato dagli attaccanti cinesi (ma potrebbero non essere i soli) per colpire oltre 250 mila aziende.

Le azioni di mitigation: verifica delle compromissioni e patching

Microsoft ha creato un post con tutte le informazioni legate alle vulnerabilità ed è in continuo aggiornamento.

Attualmente il funzionamento dell’attacco è ancora in fase di analisi, ma suggeriamo fortemente di fare due azioni il prima possibile:

A. VERIFICARE LA COMPROMISSIONE TRAMITE SCRIPT

Di seguito la procedura per l’analisi:

1. Collegarsi al DC e agli Exchange
2. Lanciare lo Script Test-ProxyLogon.ps1 di Microsoft recuperabile [da qui](https://github.com/microsoft/CSS-Exchange/tree/main/Security)
3. Verificare la presenza di file aspx sospetti nella cartella C:\inetpub\wwwroot\aspnet_client\ e sottocartelle
4. Effettuare i controlli seguenti tramite Powershell
5. Lanciare i seguenti comandi:

• [temp] Controllare il contenuto nella cartella temp di sistema tramite powershell alla ricerca di eventuali archivi/dump sospetti:

    Get-ChildItem C:\Windows\Temp -recurse -include *.rar | ConvertTo-Json
    Get-ChildItem C:\Windows\Temp -recurse -include *.zip | ConvertTo-Json

• [root] Controllare il contenuto mella cartella root di sistema tramite powershell alla ricerca di eventuali archivi/dump sospetti:

    Get-ChildItem C:\root -recurse -include *.rar | ConvertTo-Json
    Get-ChildItem C:\root -recurse -include *.zip | ConvertTo-Json

• [programdata] Controllare il contenuto nella cartella ProgramData di sistema tramite powershell  alla ricerca di eventuali archivi/dump sospetti: 

    Get-ChildItem C:\ProgramData -recurse -include *.rar | ConvertTo-Json
    Get-ChildItem C:\ProgramData -recurse -include *.zip | ConvertTo-Json

• [tasks] Controllare gli scheduled tasks presenti sulla macchina tramite powershell alla ricerca di scheduled task sospetti:

    Get-ScheduledTask | ForEach-Object {
    [pscustomobject]@{
    Name = $_.TaskName
    Path = $_.TaskPath
    LastResult = $(($_ | Get-ScheduledTaskInfo).LastTaskResult)
    NextRun = $(($_ | Get-ScheduledTaskInfo).NextRunTime)
    Status = $_.State
    Command = $_.Actions.execute
    Arguments = $_.Actions.Arguments
    }
    } | ConvertTo-Json

• [winev] Controllare tramite EV Winev_System la presenza di system ID: 7045 alla ricerca di servizi sospetti

• [users] Controllare gli utenti creati dopo una data {QUESTO CONTROLLO VA EFFETTUATO SOLO SU UNO DEI DOMAIN CONTROLLER}:

    Get-ADUser -Filter * -Properties whenCreated | where {$_.whenCreated -gt $((Get-Date).AddDays(-10))} | FT Name, whenCreated

B. ESEGUIRE LE PATCH DELLE VULNERABILITÀ

Azione da effettuare il prima possibile nel caso in cui il server NON sia stato ancora compromesso. Di seguito le patch per ogni versione di Microsoft Exchange Server:

Se dovessi rilevare una compromissione nel sistema e desiderassi il nostro supporto puoi mandarci una mail a sos@cybergon.com con i dettagli della richiesta.