Microsoft Exchange sotto attacco

Nei primi giorni di marzo è stato scoperto uno degli attacchi hacker più grandi degli ultimi anni.  Purtroppo queste notizie sono sempre più frequenti, ma in questo caso il problema è più grave dato che riguarda Microsoft Exchange Server ovvero il software per la gestione della posta elettronica e dei calendari usato da aziende e organizzazioni in tutto il mondo. Secondo gli esperti di Volexity che hanno tracciato l’intricata vicenda, il primo attacco è iniziato il 6 gennaio e si è protratto fino a marzo. Da una stima di Trend Micro solo negli Stati Uniti sono più di 30.000 le aziende colpite, mentre a livello mondiale potrebbero essere oltre 63.000 i server esposti, ma è probabile che i numeri siano decisamente superiori. Le indagini per verificare l’accaduto sono in corso e secondo le indiscrezioni sembra che l’attacco sia stato condotto da un collettivo di hacker cinesi chiamato Hafnium. Microsoft ha dichiarato che sono ben 4 le vulnerabilità sfruttate dal gruppo di hacker che hanno inizialmente usato dei virtual private server (VPS) negli Stati Uniti per nascondere la sorgente degli attacchi. Le vulnerabilità possono essere sfruttate per eseguire codici, modificare file e portare attacchi ransomware. Purtroppo, una di queste vulnerabilità indicata con il codice CVE-2021-26855, permette anche di sottrarre il contenuto degli account di posta elettronica. Microsoft ha rilasciato in tempi brevi una patch per chiudere le vulnerabilità ma a questa notizia gli hacker hanno generato una serie di attacchi ancora più intensi nel tentativo di compromettere quanti più server prima della messa in sicurezza. I server compromessi non sono quelli dei giganteschi archivi cloud di Microsoft, ma quelli “on-premises” gestisti dalle aziende nelle infrastrutture private. Purtroppo anche in Europa gli attacchi sono dilagati e, secondo un recente report dei Kaspersky Labs, la Germania è al primo posto nella lista dei Paesi che hanno subito la maggiore percentuale di attacchi, mentre l’Italia è al secondo posto. Bisogna poi considerare che durante i primi attacchi negli Stati Uniti i cybercriminali sono riusciti a installare sui server compromessi delle web shell che permettono di controllare i sistemi, questa ulteriore minaccia è rimasta installata e nascosta anche dopo aver applicato le prime patch preparate per Microsoft Exchange. Un elemento da non sottovalutare è che attaccando solo server on–premises è difficile per Microsoft tracciare i sistemi che sono stati compromessi, compito questo che spetterebbe all’azienda proprietaria dei server o alle società che ne garantiscono la cybersicurezza.

L’evidenza dei fatti

Questa situazione ha messo in evidenza due principali problemi: il primo è che usando software commerciali una volta scoperta una vulnerabilità l’attacco può essere portato a compimento con successo su decine di migliaia di server che presentano la stessa debolezza. La seconda è che le aziende che non delegano il lavoro ad esperti in cybersicurezza possono tardare ad applicare le patch o addirittura non essere in grado di eliminare le vulnerabilità, spesso per mancanza di competenza in materia. Hypergrid, che da anni si occupa con successo di queste problematiche, vanta il servizio Secure Mail che garantisce la massima sicurezza nella gestione della posta elettronica aziendale e delle pubbliche amministrazioni. Il servizio non si basa su software commerciali ma su software open source che vengono creati da comunità di migliaia di sviluppatori che sono in grado di trovare falle e metterci rimedio nel giro di poche ore, una forza che nemmeno i giganti dell’informatica con centinaia di sviluppatori impegnati su un progetto possono vantare. Ovviamente il software open source usato per Secure Mail viene analizzato, verificato e compilato dall’azienda per garantirne sicurezza e affidabilità. Non solo, i server Hypergrid usano connessioni cifrate di massima sicurezza e tecnologie a garanzia dell’identità del mittente. Ai clienti viene poi garantito il controllo antivirus di tutta la posta in transito e l’utilizzo di filtri antispam costantemente aggiornati. Altra caratteristica importante del servizio è che può essere personalizzato in base alle esigenze del cliente, per esempio per la gestione delle mailing list, oltre alla possibilità di creare impostazioni automatiche per la gestione degli allegati consentiti. Ovviamente è possibile impostare rubriche dei contatti e calendari condivisi fra gli utenti. Ultime, ma non meno importanti, l’affidabilità del servizio garantita da anni di esperienza dell’azienda nel campo della sicurezza informatica e la disponibilità h24 del team Hypergrid a intervenire per risolvere eventuali problemi.

Per informazioni contattateci all’indirizzo info@hypergrid.it o al numero di telefono 0382 528875