Diverse vulnerabilità sono state recentemente scoperte nei prodotti Microsoft Exchange Server, che possono essere sfruttate da individui malintenzionati per ottenere un punto d'appoggio in un server Exchange. Questo exploit è noto come Hafnium, e può anche essere utilizzato come punto di ingresso per entrare più in profondità nella rete organizzativa, in quanto spesso i server Exchange sono pubblicamente esposti.
Questo exploit colpisce solo i server Microsoft Exchange On-Premise, e non influisce su Exchange Online o Microsoft 365.
Cosa fa Hafnium?
L'attore della minaccia, o individuo malintenzionato, utilizza le vulnerabilità per ottenere l'accesso al server Microsoft Exchange on-premise. Questo dà loro accesso agli account di posta elettronica e ad altri dati, e permette anche l'installazione di ulteriore malware per facilitare l'accesso a lungo termine agli ambienti delle vittime. Ovviamente, questa è una situazione indesiderata. Per ulteriori informazioni, consultare i link alla fine di questo articolo.
Microsoft ha rilasciato delle patch per Exchange?
Sì, ci sono patch disponibili. Vedi questa pagina di Microsoft per maggiori dettagli.
Ma sei protetto da F-Secure?
Sì, lo sei.
F-Secure Deepguard, parte di tutti i client F-Secure Windows Endpoint, può rilevare attività anomale eseguite da UmWorkerProcess.exe, che è una delle azioni di Hafnium. Ci sono anche altri rilevamenti in atto. Continueremo a monitorare la situazione e aggiungeremo altri rilevamenti se necessario.
Il sensore F-Secure Endpoint Detection and Response (EDR) utilizzato nel prodotto F-Secure Rapid Detection and Response può rilevare e avvisare l'amministratore quando Hafnium inizia ad eseguire le sue attività/attacchi al sistema dopo aver utilizzato l'exploit per ottenere l'accesso iniziale. Lo stesso sensore è utilizzato anche nel prodotto F-Secure Rapid Detection Service.
F-Secure Radar può rilevare un software Exchange senza patch, come parte di una scansione autenticata, segnalando che ha identificato le vulnerabilità. Inoltre, il nuovo Radar Endpoint Agent, può anche rilevare queste vulnerabilità.
Quindi, F-Secure ha una soluzione per voi e i vostri clienti. Diverse soluzioni, in effetti.
Altri link utili
Microsoft ha un post sul blog su Hafnium, così come Volexity
Anche la United States Cybersecurity and Infrastructure Security Agency ha un articolo su questo argomento.
|