See Cynet’s Autonomous
Breach Protection in Action

Prefer a one-on-one demo? Click here

By clicking next I consent to the use of my personal data by Cynet in accordance with Cynet's Privacy Policy and by its partners

Vulnerabilità Microsoft Exchange: da Proxylogon a Hafnium in salsa Devcore Team Learn More

Vulnerabilità Microsoft Exchange: da Proxylogon a Hafnium in salsa Devcore Team

Microsoft Exchange detiene il 78% del mercato e alcune delle informazioni più critiche di una azienda. Nonostante tutte gli avvertimenti, gran parte delle organizzazioni basano il loro funzionamento sulla posta elettronica. Due motivi per cui lo sfruttamento di vulnerabilità come quelle che analizzeremo ha comportato e comporterà problematiche su informazioni sensibili. Ancora più critico sarà il risultato dell’analisi del comportamento dell’APT, in quanto indica che bisogna aspettarsi dell’altro.

Per poter fare una panoramica esauriente degli eventi accaduti e quindi capirne l’impatto e il livello di rischio è necessario ricostruire la timeline (** e ***) degli eventi:

01/10/2020 DEVCORE inizia la revisione security di Microsoft Exchange

10/12/2020 DEVCORE scopre la prima vulnerabilità inerente alla pre-autenticazione proxy (CVE-2021-26855)

30/12/2020 DEVCORE scopre la seconda vulnerabilità inerente alla possibilità post authentication di scrivere in modo arbitrario file su filesystem (CVE-2021-27065)

31/12/2020 DEVCORE ha messo insieme entrambe le vulnerabilità arrivando ad avere un pre-auth RCE exploit

05/12/2021 DEVCORE notifica a Microsoft le vulnerabilità scoperte direttamente dal portale MSRC

06/01/2021 MSRC conferma la validità delle vulnerabilità segnalate

03/03/2021 MSRC pubblica le patch è l’articolo che descrive le vulnerabilità

03/03/2021 DEVCORE inzia le attività di investigazione di alcuni eventi sospetti riconducibili allo sfruttamento delle vulnerabilità scoperte a seguito di indicazioni ricevute da Volexity

04/03/2021 DEVCORE conferma il fatto che le vulnerabilità sfruttate sono quelle precedentemente segnalate a Microsoft

08/03/2021 Diverse aziende hanno segnalato di essere state attaccate con queste vulnerabilità e questa attività massiva è stata ricondotta all’APT Group Hafnium

Per poter individuare eventuali attività anomale riconducibili allo sfruttamento delle vulnerabilità di Microsoft Exchange è necessario avere la corretta visibilità all’interno dell’infrastruttura considerando le seguenti TTPs (tattiche, tecniche e procedure) utilizzate dall’attaccante che in questo caso è l’APT Group Hafnium. L’APT in questione ha utilizzato 11 delle 14 tattiche descritte dal MITRE ATT&CK framework e sfruttato le vulnerabilità CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065:

1. Reconnaissance

1.1 MITRE ATT&CK T1592.002 Gather Victim Host Information: Software

2. Resource Development

2.1 MITRE ATT&CK T1583.003 Acquire Infrastructure: Virtual Private Server

2.2 MITRE ATT&CK T1588.002 Obtain Capabilities: Tool

3. Initial Access

3.1 MITRE ATT&CK T1190 Exploit Public-Facing Application

4. Execution

4.1 T1059.003 Command and Scripting Interpreter: Windows Command Shell

5. Installation

5.1 MITRE ATT&CK T1505.003 Server Software Component: Web Shell

5.2 MITRE ATT&CK T1136.002 Create Account: Domain Account

6. Defense Evasion

6.1 T1036.005 Masquerading: Match Legitimate Name or Location

7. Credential Access

7.1 MITRE ATT&CK T1003.001 – OS Credential Dumping: LSASS Memory

7.2 T1003.003 OS Credential Dumping: NTDS

8. Lateral Movement

8.1 MITRE ATT&CK T1021.002 – Remote Services: SMB/Windows Admin Shares

9. Collection

9.1 MITRE ATT&CK T1560.001 – Archive Collected Data: Archive via Utility

9.2. MITRE ATT&CK T1114.002 – Email Collection: Remote Email Collection

10. Command and Control

10.1 MITRE ATT&CK T1071.001 – Application Layer Protocol: Web Protocols

11. Exfiltration

11.1 MITRE ATT&CK T1567.002 – Exfiltration Over Web Service: Exfiltration to Cloud Storage

La situazione si è ulteriormente complicata per via della competizione Pwn2Own**** 202,1 dove diversi team di ricercatori si sono misurati nello scoprire nuove vulnerabilità. Il DEVCORE team ha scoperto altre due vulnerabilità di Microsoft Exchange, purtroppo non risolte neanche nel Patch Tuesday di Aprile 2021 rilasciato da Microsoft. Ciononostante, in questa sessione di rilascio patch sono stati risolte altre vulnerabilità di Microsoft Exchange ancora più gravi di quelle scoperte a Marzo 2021: le CVE-2021-28480 e CVE-2021-28481 hanno un CVSS score di 9.8 e non richiedono autenticazione o l’interazione dell’utente rendendole molto critiche. La lista completa delle vulnerabilità Microsoft Exchange scoperte dall’NSA e per le quali Microsoft ha rilasciato le relative patch nell’ultimo Patch Tuesday sono: CVE-2021-28480, CVE-2021-28481, CVE-2021-28482 e CVE-2021-28483 e che affliggono le versioni di Microsoft Exchange Server da 2013 a 2019, inutile dire che è necessaria l’immediata applicazione delle patch e l’analisi di comportamenti sospetti tramite di tool di sicurezza che permettono di avere una visibilità e protezione adeguata.

La timeline ufficiale dell’attacco fa riferimento ad una settimana, da quando Microsoft ha rilasciato le Patch a quando l’APT si è manifestato su scala globale. È importante non sottovalutare l’ipotesi che sia iniziato prima e finito dopo. Le vulnerabilità sono state scoperte quattro mesi prima dell’attacco, la complessità dimostrata nell’analisi di mappatura a MITRE ATT&CK suggerisce una pianificazione a lungo tempo: l’obiettivo del breve è stato esfiltrare informazione ma a lungo termine è sicuramente avere più punti di controllo all’interno della rete. Solo le organizzazioni che hanno investito in visibilità possono condurre analisi alla ricerca di movimenti laterali, altre aree compromesse, traffico sospetto, ecc. Tutte le altre saranno cieche fino al manifestarsi dei sintomi della compromissione.

A conferma della criticità molto elevata delle vulnerabilità Microsoft Exchange l’FBI ha creato un precedente che sicuramente farà la storia, infatti il Dipartimento di Giustizia di Houston ha autorizzato un’operazione dell’FBI che ha lo scopo accedere ai sistemi compromessi e rimuovere le backdoor lasciate dagli attaccanti su migliaia di mail server presenti negli Stati Uniti (*****). Questo è il primo caso, noto, di attività di remediation di un attacco su infrastrutture private effettuato dall’FBI. Già nel 2016 la Corte Suprema si era mossa per consentire ai giudici statunitensi di emettere mandati di perquisizione al di fuori del loro distretto. Questa operazione aveva scaturito molte critiche perché si temeva che l’FBI potesse chiedere a un tribunale di autorizzare operazioni informatiche in qualsiasi parte del mondo. Altri paesi come la Francia hanno utilizzato dinamiche simili per dirottare e poi spegnere il traffico generato da una botnet che stava mettendo in difficoltà diverse aziende.

(*): https://www.firstpost.com/business/biztech/with-78-share-microsoft-exchange-server-largest-on-premise-email-solution-1894675.html

(**): https://proxylogon.com/#timeline

(***): https://krebsonsecurity.com/2021/03/a-basic-timeline-of-the-exchange-mass-hack/

(****): https://www.zerodayinitiative.com/blog/2021/4/2/pwn2own-2021-schedule-and-live-results

(*****): https://techcrunch.com/2021/04/13/fbi-launches-operation-to-remotely-remove-microsoft-exchange-server-backdoors/