«Microsoft ha rilevato numerosi exploit 0-day utilizzati per attaccare versioni locali di Microsoft Exchange Server in attacchi limitati e mirati.
Negli attacchi osservati, l’attore della minaccia ha utilizzato queste vulnerabilità per accedere ai server Exchange locali che abilitavano l’accesso agli account di posta elettronica e consentivano l’installazione di malware aggiuntivo per facilitare l’accesso a lungo termine agli ambienti delle vittime.
Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna con molta probabilità ad HAFNIUM, un gruppo che si ritiene sia sponsorizzato dallo stato e operante fuori dalla Cina, sulla base di target, tattiche e procedure osservate. HAFNIUM si rivolge principalmente a obiettivi negli Stati Uniti in numerosi settori industriali, tra cui ricercatori in malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, gruppi di esperti politici e ONG e opera principalmente da server privati virtuali (VPS) in leasing negli Stati Uniti.
Le vulnerabilità recentemente sfruttate erano CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, tutte risolte nella versione del Microsoft Security Response Center (MSRC) –
Microsoft fornisce i seguenti dettagli per aiutare i clienti a comprendere le tecniche utilizzate da HAFNIUM per sfruttare queste vulnerabilità, e consentire una difesa più efficace contro eventuali attacchi futuri verso sistemi privi di patch.
CVE-2021-26855 è una vulnerabilità SSRF (server-side request forgery) in Exchange che ha consentito all’attaccante di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.
CVE-2021-26857 è una vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. La deserializzazione non sicura è il punto in cui i dati non attendibili controllabili dall’utente vengono deserializzati da un programma. Lo sfruttamento di questa vulnerabilità ha dato ad HAFNIUM la capacità di eseguire codice come SYSTEM sul server Exchange. Ciò richiede l’autorizzazione dell’amministratore o un’altra vulnerabilità da sfruttare.
CVE-2021-26858 è una vulnerabilità di scrittura arbitraria di file post-autenticazione in Exchange. Se HAFNIUM potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.
CVE-2021-27065 è una vulnerabilità di scrittura arbitraria di file post-autenticazione in Exchange. Se HAFNIUM potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.»
Microsoft invita vivamente i clienti ad aggiornare immediatamente i sistemi locali. Exchange Online non è interessato.
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/