Microsoft pubblica aggiornamenti critici per la protezione di Exchange Server

Individuate quattro vulnerabilità in Exchange Server 2010, 2013, 2016 e 2019: ecco le patch rilasciate per eliminarle.

Rilasciate patch per Exchange 2010, 2013, 2016 e 2019.

Ieri 2 marzo, il Microsoft Threat Intelligence Center (MSTIC) ha rilasciato i dettagli di più exploit zero-day in uso contro i server Exchange on-premises. Come descritto nel loro blog, gli aggressori “hanno usato queste vulnerabilità per bucare i server Exchange on-premises che hanno permesso l’accesso agli account di posta elettronica e l’installazione di malware aggiuntivi per facilitare l’accesso a lungo termine agli ambienti delle vittime“. L’attacco è attribuito a HAFNIUM, un gruppo che Microsoft ritiene essere sponsorizzato dallo stato e operante in Cina. Anche se questo attacco è rivolto ai server on-premises, MSTC dice di aver osservato HAFNIUM “interagire con i tenant di Office 365 delle vittime“.

Tra gli altri problemi, le vulnerabilità identificate permettono agli aggressori di scaricare la memoria del processo LSASS, usare PowerShell per esportare i dati delle caselle di posta e scaricare l’OAB. Microsoft raccomanda ai clienti on-premises di seguire la loro guida per proteggere i server Exchange.

Il Microsoft Security Response Center (MSRC) ha osservato che “queste vulnerabilità vengono utilizzate come parte di una catena di attacchi. L’attacco iniziale richiede la capacità di stabilire una connessione non attendibile alla porta 443 del server Exchange. Questa può essere protetta limitando le connessioni non attendibili o configurando una VPN per separare il server Exchange dall’accesso esterno. L’utilizzo di questa mitigazione proteggerà solo dalla parte iniziale dell’attacco; altre parti della catena possono essere attivate se un utente malintenzionato ha già accesso o può convincere un amministratore a eseguire un file dannoso“.

Eliminare le vulnerabilità  

Per eliminare le quattro vulnerabilità segnalate, il gruppo di sviluppo di Exchange ha rilasciato aggiornamenti per le seguenti versioni del server:

• Exchange Server 2010 (RU 31 per Service Pack 3). Si tratta di un aggiornamento out-of-band per un server non supportato, per garantire che le aziende dispongano di una difesa approfondita.
• Exchange Server 2013 (CU 23).
• Exchange Server 2016 (CU 19, CU 18).
• Exchange Server 2019 (CU 8, CU 7).

Ulteriori dettagli sono disponibili nel blog del team di Exchange.

Sebbene centinaia di milioni di cassette postali di Exchange vengano ora eseguite in Exchange Online, un numero considerevole rimane in locale. Molte grandi organizzazioni eseguono distribuzioni ibride e mantengono alcune cassette postali in locale. Questo invito non può essere ignorato! Ogni azienda, sia essa in locale o con una soluzione ibrida deve fare fronte a questi aggiornamenti di sicurezza.

Le informazioni presenti in questo post, sono prese dall’articolo: https://practical365.com/blog/microsoft-issues-critical-security-updates-for-exchange-server/