Il difetto di Microsoft Exchange potrebbe aver causato l'hacking di oltre 30,000 organizzazioni statunitensi

I rilascio silenzioso di una patch fuori banda per un difetto nel server Exchange di Microsoft si sta rapidamente trasformando in una storia importante, con rapporti credibili di almeno 30,000 organizzazioni negli Stati Uniti, e forse centinaia di migliaia in tutto il mondo, che sono state violate da un gruppo di hacker cinesi, che ora ha il pieno controllo dei server e dei dati su di essi .

Krebs sui rapporti sulla sicurezza che un numero significativo di piccole imprese, paesi, città e governi locali è stato infettato, con gli hacker che si sono lasciati alle spalle una shell web per ulteriori comandi e controlli.

Microsoft ha affermato che gli attacchi originali erano mirati a una serie di settori industriali, tra cui ricercatori sulle malattie infettive, studi legali, istituti di istruzione superiore, appaltatori della difesa, gruppi di esperti politici e ONG, ma Krebs osserva che c'è stata una drammatica e aggressiva escalation del tasso di infezione, poiché gli hacker cercano di stare al passo con la patch rilasciata da Microsoft.

"Finora abbiamo lavorato su dozzine di casi in cui le shell web sono state inserite nel sistema della vittima il 28 febbraio [prima che Microsoft annunciasse le sue patch], fino ad oggi", ha affermato il presidente di Volexity Steven Adair, che ha scoperto il attacco . “Anche se hai applicato la patch lo stesso giorno in cui Microsoft ha pubblicato le sue patch, c'è ancora un'alta probabilità che ci sia una web shell sul tuo server. La verità è che se stai eseguendo Exchange e non hai ancora corretto questa patch, c'è un'alta probabilità che la tua organizzazione sia già compromessa".

Uno strumento è disponibile su Github per identificare i server infetti su Internet e l'elenco è preoccupante.

"Sono dipartimenti di polizia, ospedali, tonnellate di governi cittadini e statali e unioni di credito", ha affermato una fonte che sta lavorando a stretto contatto con i funzionari federali sulla questione. "Quasi tutti coloro che eseguono Outlook Web Access self-hosted e non sono stati patchati fino a pochi giorni fa sono stati colpiti da un attacco zero-day".

L'entità dell'attacco finora solleva preoccupazioni sulla fase di riparazione.

"Durante la chiamata, molte domande provenivano dai distretti scolastici o dai governi locali che hanno tutti bisogno di aiuto", ha detto la fonte, parlando a condizione che non fossero identificati per nome. “Se questi numeri sono nell'ordine delle decine di migliaia, come viene eseguita la risposta agli incidenti? Semplicemente non ci sono abbastanza team di risposta agli incidenti là fuori per farlo rapidamente".

"La migliore protezione consiste nell'applicare gli aggiornamenti il ​​prima possibile su tutti i sistemi interessati", ha affermato un portavoce di Microsoft in una dichiarazione scritta. “Continuiamo ad aiutare i clienti fornendo ulteriori indagini e indicazioni sulla mitigazione. I clienti interessati devono contattare i nostri team di supporto per ulteriore aiuto e risorse".

Alcuni hanno puntato il dito contro Microsoft per aver consentito il verificarsi degli attacchi, soprattutto perché i loro prodotti cloud non sono stati interessati.

"È una domanda che vale la pena porsi, quale sarà la raccomandazione di Microsoft?", ha affermato l'esperto di sicurezza informatica del governo. "Diranno 'Patch, ma è meglio passare al cloud.' Ma come stanno proteggendo i loro prodotti non cloud? Lasciandoli appassire sulla vite”.