fbpx
NewsSoftwareTech

Perché l’attacco hacker ai server di Microsoft Exchange è così pericoloso

Sono stati violati migliaia di server Microsoft Exchange, utilizzati per la gestione delle mail aziendali e dei calendari

Nelle ultime settimane è emerso un attacco hacker senza precedenti a Microsoft Exchange Server, un software molto famoso utilizzato dalle aziende in tutto il mondo per la gestione di mail e calendari. L’Italia è tra i paesi più colpiti e risulta quinto per server a rischio, dopo Stati Uniti, Germania, Regno Unito e Francia.

L’attacco hacker a Microsoft Exchange

L’attacco a Microsoft Exchange è stato scoperto ufficialmente i primi giorni di marzo e Microsoft ha dichiarato che gli hacker che hanno compiuto la violazione sembrano essere collegati al governo cinese. Il governo della Cina, ovviamente, ha smentito il tutto.

L’obiettivo principale sono gli Stati Uniti, in prima posizione tra i paesi più colpiti, che conta attualmente circa 20.000 server ancora in pericolo. Microsoft, infatti, ha diffuso un software che risolverebbe la vulnerabilità sfruttata dagli hacker, ma sono migliaia le aziende che devono ancora provvedere all’installazione. L’Italia ha circa 3700 server attualmente a rischio.

Edificio Microsoft
Photo Credits: Microsoft.

Cos’è Microsoft Exchange?

Microsoft Exchange è uno dei software più diffusi al mondo per la gestione delle email aziendali e dei calendari, che vengono sincronizzati con tutta l’azienda. Un numero molto elevato di utenti lo utilizza quotidianamente, poiché permette di creare nuovi indirizzi email dedicati ai nuovi dipendenti e ovviamente di gestire il traffico della posta elettronica.

Il software di Microsoft può essere utilizzato su cloud oppure “on-premises”. Il primo metodo consente di gestire tutti i dati da remoto, ed è dedicato principalmente alle grandi aziende; il secondo, invece, fa sì che le aziende facciano girare Microsoft Exchange sui loro server privati, dove sono presenti anche tutti i dati. È utilizzato maggiormente dalle aziende più piccole, soprattutto perché è più economico. L’attacco hacker è avvenuto sui server “on-premises”, quindi quelli che non sfruttano il cloud.

Il team di hacker è riuscito a sfruttare alcune vulnerabilità di Exchange per poter entrare nei server “on-premises” e prenderne fondamentalmente il totale controllo. È quindi in grado di leggere e scrivere mail, cancellarle e avere accesso a tutto il calendario aziendale.

Oltre al danno, la beffa

Se questo non bastasse, come afferma Il Post, gli hacker hanno anche installato un codice – una web shell – che permette di accedere al sistema anche una volta risolta la vulnerabilità. Un’eventuale web shell all’interno del server complicherebbe davvero le cose.

Inoltre questa web shell è sfruttata da molti altri gruppi di hacker per ottenere il controllo del server, oltre al team che ha eseguito l’attacco vero e proprio. Una volta installato questo software, infatti, non è così difficile accedere al server replicando le mosse degli hacker originali. A conferma di ciò, negli ultimi giorni ci sono stati moltissimi attacchi ransomware ai server violati.

Attacco hacker a Microsoft Exchange, il tracollo di fine febbraio

Microsoft è stata avvisata di queste vulnerabilità sfruttate a gennaio, quando la situazione era ancora sotto controllo. Gli hacker, infatti, avevano attaccato ancora pochi server. La patch che avrebbe risolto il problema era programmata per il 9 marzo ma, visto un successivo aumento smisurato degli attacchi a fine febbraio, Microsoft ha rilasciato la patch il 2 marzo.

Secondo quanto riportato da varie fonti, solo negli Stati Uniti sarebbero stati violati circa 30.000 server. Nel mondo se ne contano 100.000. KerbsOnSecurity ha riferito che la web shell è presente sulle reti di migliaia di organizzazioni statunitensi, comprese banche, organizzazioni non profit, fornitori di servizi di telecomunicazioni, vigili del fuoco e uffici di polizia.

Attacco hacker Microsoft Exchange
Photo Credits: freepik

In Italia la situazione non è sicuramente più rosea, con 3700 aziende vulnerabili. Tim Business, infatti, ha recentemente avvisato i clienti di possibili accessi non autorizzati alle mail. TIM ha provveduto ad installare la patch di emergenza di Microsoft una volta uscita, ed ha effettuato anche tutte le verifiche per assicurarsi che non fossero state installate le shell per permettere un controllo futuro.

Una delle motivazioni che porta ad avere ancora molti server vulnerabili, nonostante l’arrivo della patch, è l’aver attaccato server “on-premises”, gestiti dal reparto informatico delle aziende stesse. Gli informatici devono quindi installare manualmente la patch, poiché Microsoft non ha accesso diretto a questi server, di conseguenza moltissime aziende non hanno ancora installato l’aggiornamento.

Questo è uno degli attacchi hacker più grave degli ultimi anni e molto probabilmente l’impatto sarà a lungo termine. I server colpiti e quelli tutt’ora vulnerabili potrebbero impiegare mesi per tornare alla normalità.

Source
KrebOnSecurityIlPost

Sara Grigolin

Amo le serie tv, i libri, la musica e sono malata di tecnologia. Soprattutto se è dotata di led RGB.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button