L’attacco hacker a Microsoft Exchange: cos’è successo

Articolo header

L’attacco hacker a Microsoft Exchange: analizziamo cos’è successo e valutiamo le principali ripercussioni e gli strumenti messi a disposizione da Microsoft per tutelarsi.


A gennaio 2021 è cominciato l’attacco hacker a Microsoft Exchange, attacco di cui si è tanto  discusso in seguito alla pubblicazione a inizio marzo della patch, a causa dell’ampia portata e del numero di soggetti – aziende ed organizzazioni in tutto il mondo – coinvolti. Nell’articolo di oggi valutiamo le principali ripercussioni e gli strumenti messi a disposizione da Microsoft per tutelarsi

Microsoft Exchange e la vulnerabilità “Zero Day”

L’attacco hacker ha colpito Exchange, ovvero uno dei software più diffusi per la gestione dei server aziendali di email e calendari. L’applicativo in questione favorisce la collaborazione in linea tra vari utenti di un'organizzazione, gestendo centralmente la messaggistica di posta elettronica, i calendari, le rubriche e favorendo tutte le attività di pianificazione condivisa e controllata delle attività aziendali. Il client più utilizzato per connettersi a un server Exchange è Microsoft Outlook, compreso nella suite Microsoft Office. Exchange può essere cloud based, ovvero con email e dati conservati su server gestiti direttamente da Microsoft, oppure “on-premises”, vale a dire, letteralmente, “nei locali” dell’azienda. I server colpiti dall’attacco hacker sono stati questi ultimi. 

Gli hacker hanno sfruttato alcune vulnerabilità non note in Exchange, vulnerabilità particolarmente gravi, definite “Zero-Day” con riferimento al tempo a disposizione degli sviluppatori per intervenire riparando la falla e applicando gli opportuni correttivi. Una volta sfruttate le vulnerabilità, i cybercriminali hanno avuto accesso al sistema e a tutti i dati relativi, con la possibilità di creare “exploit” ovvero script, virus, worm, in modo da acquisire privilegi amministrativi e continuare ad agire anche dopo che l’applicativo è stato patchato/aggiornato. 

L’azione di Microsoft  

Le società di cybersecurity “Volexity” e “Dubex” hanno rilevato l’attacco il 6 gennaio 2021. Nelle prime settimane gli hacker hanno sfruttato la vulnerabilità per violare un numero modesto di server (probabilmente l’intenzione era quella di agire cautamente in modo da celare le tracce dell’intrusione). 

Solo verso fine febbraio 2021, quando Microsoft si apprestava a rilasciare i consueti aggiornamenti di sicurezza per Exchange (il c.d. “Patch Tuesday), i cybercriminali hanno avviato un vero e proprio attacco di massa, installando applicativi malevoli su più server possibili, in modo da prendere il controllo delle macchine prima che Microsoft operasse l’aggiornamento. Aggiornamento che è stato quindi anticipato al 2 marzo 2021. 

In questo lasso di tempo gli esperti stimano che le vittime potrebbero essere più di 250 mila. Fra le aziende italiane, Tim Business ha diffuso nei giorni scorsi una comunicazione volta ad informare i clienti dell’attacco subito.

Criticità e ripercussioni 

Ad aggravare la situazione concorrono diversi elementi: 

  • In primo luogo la patch di Microsoft elimina la vulnerabilità originale dell’applicativo, ma non gli “exploit” come sopra descritti: qualora i server siano stati compromessi utilizzando “web shell” o altri script malevoli, gli hacker potrebbero aver mantenuto l’accesso. In questo caso l’unica possibilità di mettere in sicurezza i sistemi sarebbe formattare e re-inizializzare i server;
  • Gli “exploit” agevolano ulteriori attacchi anche da parte di terze parti;
  • La messa in sicurezza complessiva è in capo agli informatici delle singole aziende, questo in quanto i server attaccati sono quelli “on-premises”, ovvero che risiedono fisicamente all’interno delle varie organizzazioni. Un’indagine condotta il 12 marzo da Microsoft evidenziava come, a distanza di circa 10 giorni dalla pubblicazione della patch, fossero ancora migliaia le aziende che non l’avevano installata sui propri server. 

Ciò premesso, è chiaro che vi saranno ulteriori ripercussioni anche nei mesi a seguire. Il portavoce della Casa Bianca, Jen Psaki, ha dichiarato ai giornalisti che l’attacco potrebbe avere un impatto di lungo termine, per tale ragione il Consiglio di sicurezza nazionale ha organizzato una task force per occuparsi della questione e l’amministrazione Biden sta rivedendo il suo approccio verso il tema della cyber sicurezza. Si sospetta che l’attacco, ad opera del gruppo cinese “Hafnium” sia “state-sponsored”, ovvero correlato ad iniziative di Governo. 

Tuttavia non è chiaro quale fosse l’obiettivo principale: si parla di spionaggio industriale, tuttavia il modus operandi è diverso da altri casi simili (vedi l’attacco ai danni di SolarWinds). In questo caso i cybercriminali non si sono concentrati su poche prestigiose vittime, sembrerebbe infatti che l’attacco non sia stato mirato. A preoccupare sono più le conseguenze.

I “mitigation tools” di Microsoft 

In seguito all’attacco ed in attesa che venga rilasciato un ulteriore aggiornamento (probabilmente con il “Patch Tuesday” di aprile), Microsoft ha pubblicato delle utili linee guida per la risoluzione delle vulnerabilità di Exchange. Inoltre, la società con sede a Redmond, ha reso disponibili due mitigation tools per verificare la presenza delle vulnerabilità e ridurre l’impatto di ulteriori potenziali attacchi. 

Le Linee guida di Microsoft sono disponibili consultando il seguente link.

L’utile centro risorse Microsoft con la guida all’uso del tool è disponibile al seguente link.

La community Microsoft con costanti aggiornamenti sull’accaduto è accessibile dal seguente link.

Altre News