Vulnerabilità di Microsoft Exchange Server

12.03.2021 - Negli ultimi giorni sono stati diffusi numerosi comunicati stampa concernenti le seguenti vulnerabilità del programma Microsoft Exchange Server. Attualmente l'NCSC ha ricevuto solo poche segnalazioni di server infetti. Ciò nonostante supponiamo che diverse centinaia di sistemi possano essere colpiti dalla vulnerabilità. I criminali informatici hanno iniziato ad attaccare i server Microsoft Exchange che sono stati precedentemente compromessi, criptandoli con un nuovo ransomware chiamato "DoejCrypt". Consigliamo di applicare immediatamente una patch e controllare i server Exchange per identificare eventuali infezioni!

Negli ultimi giorni sono stati diffusi numerosi comunicati stampa concernenti le seguenti vulnerabilità del programma Microsoft Exchange Server:

CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

Attualmente l'NCSC ha ricevuto solo poche segnalazioni di server infetti. Ciò nonostante supponiamo che diverse centinaia di sistemi possano essere colpiti dalla vulnerabilità. Il patching dei sistemi dell'amministrazione federale è stato tempestivamente avviato e portato a termine.

Microsoft sospetta che dietro questi attacchi vi sia il gruppo cinese HAFNIUM. Tuttavia, molti altri attori hanno cercato di sfruttare questa vulnerabilità dopo che Microsoft l’ha resa pubblica il 2 marzo 2021. 

Dalla pubblicazione degli aggiornamenti di sicurezza di Microsoft le infezioni sono notevolmente aumentate.

Il 2 marzo 2021 l’NCSC ha informato il pubblico su Twitter e sul suo sito web. I gestori di infrastrutture critiche svizzere sono stati informati su un portale dedicato. Nel frattempo, l’NCSC è venuto a conoscenza di vari server infettati in Svizzera. È importante sottolineare che le falle di sicurezza summenzionate non riguardano solo i server Exchange, che mettono a disposizione OWA («Outlook Web Access») su Internet, bensì anche server che ospitano altri servizi con protocollo «https://» (ad es. Active Sync, messaggistica unificata, rubrica offline ecc.).

Alcuni indizi indicano che gli hacker hanno iniziato a sfruttare le falle di sicurezza poco dopo l’annuncio di Microsoft del 2 marzo 2021. Attualmente, l’NCSC sta raccogliendo e mettendo a disposizione maggiori informazioni sulle vulnerabilità e sulle organizzazioni colpite in Svizzera. Se desiderate ricevere queste informazioni o assicurarvi di non essere stati colpiti, l’NCSC raccomanda di seguire la procedura descritta di seguito. Se non fossero disponibili le conoscenze specialistiche necessarie, l’NCSC consiglia di rivolgervi senza indugio a specialisti esterni.

Assicuratevi che le patch siano installate

Verificate se il server è ancora vulnerabile oppure se le patch di Microsoft sono state installate correttamente. Microsoft mette a disposizione istruzioni per l’installazione delle patch e le patch che hanno già raggiunto lo status «end of life» (Link). Tuttavia, tenete presente che, nonostante la disponibilità di patch, Exchange 2007 e 2010 hanno raggiunto lo status «end of life» e devono imperativamente essere sostituiti con prodotti più recenti.

Una descrizione dettagliata di altre misure tecniche è disponibile sul sito in lingua inglese della divisione tecnica dell’NCSC: https://www.govcert.ch/blog/exchange-vulnerability-2021/

Raccomandazioni generali

Per una migliore protezione delle infrastrutture dei server Exchange, l’NCSC consiglia di attuare le seguenti misure di sicurezza:

  • i server Exchange non devono essere direttamente accessibili da internet. Attivate un WAF («Web Application Firewall») oppure un proxy SMTP che filtri il traffico dati prima del server Exchange;
  • elaborate un processo per l’installazione di aggiornamenti di sicurezza in caso di emergenza e assicuratevi che gli aggiornamenti possano essere installati entro poche ore. Questo vale soprattutto per i sistemi direttamente accessibili da Internet;
  • sorvegliate tutti i file di log dei server Exchange, memorizzateli in un SIEM («Security Information and Event Management») e cercare modelli inusuali;
  • impostate un’autenticazione a due fattori su tutti i sistemi per tutti gli utenti;
  • utilizzate un «management framework» dedicato con privilegi elevati per l’accesso ai server Exchange;
  • registrate in modo centralizzato tutti i log di Active Directory e analizzateli regolarmente;
  • aumentate la visibilità dei nodi terminali («end point») utilizzando un tool EDR («Endpoint Detection and Response»).

Ultima modifica 12.03.2021

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/exchange-server.html