Microsoft esorta gli amministratori a correggere i server Exchange locali

Vai ai contenuti

Microsoft esorta gli amministratori a correggere i server Exchange locali

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Microsoft esorta gli amministratori a correggere i server Exchange locali




Microsoft ha invitato oggi i clienti a mantenere aggiornati i propri server Exchange locali applicando l'ultimo aggiornamento cumulativo (CU) supportato per essere sempre pronti a distribuire un aggiornamento di sicurezza di emergenza.

Redmond afferma che il processo di aggiornamento del server Exchange è "semplice" (qualcosa con cui molti amministratori potrebbero non essere d'accordo) e consiglia di eseguire sempre lo script Exchange Server Health Checker dopo aver installato gli aggiornamenti.

Ciò consente di rilevare problemi di configurazione comuni noti per causare problemi di prestazioni o problemi che possono essere risolti con una semplice modifica della configurazione dell'ambiente Exchange. Se rileva problemi, lo script fornisce collegamenti ad articoli con indicazioni dettagliate per eventuali attività manuali aggiuntive che devono essere eseguite.

"Per difendere i tuoi server Exchange dagli attacchi che sfruttano le vulnerabilità note, devi installare l'ultima CU supportata (al momento della stesura di questo documento, CU12 per Exchange Server 2019, CU23 per Exchange Server 2016 e CU23 per Exchange Server 2013) e l'ultima SU ( al momento della stesura di questo documento, l'US di gennaio 2023)," ha affermato il team di Exchange.

"Le CU e le SU di Exchange Server sono cumulative, quindi è necessario installare solo l'ultima disponibile. Si installa l'ultima CU, quindi si verifica se sono state rilasciate eventuali SU dopo il rilascio della CU. In tal caso, installare l'ultima (più recente) SU ."

Microsoft ha anche chiesto agli amministratori di Exchange di fornire informazioni su come migliorare il processo di aggiornamento di Exchange Server tramite un "sondaggio sull'esperienza di aggiornamento".

"Lo scopo di questo sondaggio è comprendere le tue esperienze di aggiornamento cumulativo (CU) e aggiornamento di sicurezza (SU) di Exchange Server in modo da poter cercare modi per migliorare le esperienze e aiutarti a mantenere aggiornati i tuoi server", afferma la società.

"Le informazioni raccolte in questo sondaggio verranno utilizzate solo dal team tecnico di Exchange Server di Microsoft e solo per migliorare le esperienze di aggiornamento."

Gli obiettivi di alcuni attori delle minacce quando prendono di mira i server Exchange includono l'accesso a informazioni sensibili all'interno delle caselle di posta degli utenti, la rubrica degli indirizzi dell'azienda, che contribuirebbe a rendere più efficaci gli attacchi di social engineering, e l'Active Directory delle organizzazioni e gli ambienti cloud connessi.

Sfortunatamente, i server Exchange sono obiettivi molto ricercati, come evidenziato dagli sforzi del gruppo criminale informatico FIN7 per creare una piattaforma di attacco automatico personalizzata denominata Checkmarks, progettata specificamente per aiutare a violare i server Exchange.

La nuova piattaforma di FIN7 è già stata utilizzata per violare le reti di 8.147 aziende (la maggior parte delle quali si trova negli Stati Uniti) dopo aver scansionato più di 1,8 milioni di obiettivi, secondo la società di informazioni sulle minacce Prodaft.

Decine di migliaia di server Exchange in attesa di essere protetti
L'avviso di oggi arriva dopo che Microsoft ha anche chiesto agli amministratori di applicare continuamente patch ai server Exchange on-prem dopo aver rilasciato aggiornamenti di sicurezza fuori banda di emergenza per affrontare le vulnerabilità di ProxyLogon che sono state sfruttate negli attacchi due mesi prima del rilascio delle patch ufficiali.

Almeno dieci gruppi di hacker utilizzavano gli exploit ProxyLogon nel marzo 2021 per vari scopi, uno dei quali era un gruppo di minacce sponsorizzato dalla Cina e monitorato da Microsoft come Hafnium.

Per mostrare l'enorme numero di organizzazioni esposte a tali attacchi, il Dutch Institute for Vulnerability Disclosure (DIVD) ha trovato 46.000 server senza patch contro i bug ProxyLogon una settimana dopo che Microsoft ha rilasciato gli aggiornamenti di sicurezza.

Più recentemente, nel novembre 2022, Microsoft ha corretto un'altra serie di bug di Exchange noti come ProxyNotShell che consentono l'escalation dei privilegi e l'esecuzione di codice in modalità remota su server compromessi due mesi dopo il primo rilevamento dello sfruttamento in-the-wild.

L'exploit proof-of-concept (PoC) utilizzato dagli aggressori per eseguire backdoor sui server Exchange è stato rilasciato online una settimana dopo l'emissione degli aggiornamenti di sicurezza di ProxyNotShell.

Ultimo ma non meno importante, CISA ha ordinato alle agenzie federali di correggere un bug di Microsoft Exchange soprannominato OWASSRF e abusato dalla banda di ransomware Play come zero-day per aggirare le mitigazioni di riscrittura degli URL di ProxyNotShell su server senza patch appartenenti al provider di cloud computing con sede in Texas Rackspace.

Ciò dimostra ulteriormente l'importanza di seguire il consiglio di Microsoft di distribuire le ultime CU supportate su tutti i server Exchange on-premise poiché le misure di mitigazione da sole non difenderanno necessariamente da aggressori motivati e dotati di risorse adeguate poiché forniscono solo una protezione temporanea.


Per mettere le cose in prospettiva, all'inizio di questo mese, i ricercatori di sicurezza della Shadowserver Foundation hanno scoperto che oltre 60.000 server Microsoft Exchange esposti online sono ancora vulnerabili agli attacchi che sfruttano gli exploit ProxyNotShell mirati alla vulnerabilità RCE (Remote Code Execution) CVE-2022-41082.

A peggiorare le cose, una ricerca su Shodan mostra un numero considerevole di server Exchange esposti online, con migliaia ancora in attesa di essere protetti da attacchi mirati ai difetti di ProxyShell e ProxyLogon, alcune delle vulnerabilità più sfruttate del 2021.



3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti