Martedì 2 marzo, il Microsoft Threat Intelligence Center (MTIC) ha divulgato i dettagli di una campagna denominata Hafnium che prende di mira i server Microsoft Exchange on-premises. L'attacco sfrutta diversi exploit 0-day in Exchange e consente agli aggressori di bypassare l'autenticazione, compresa l'autenticazione a più fattori (MFA), per accedere agli account di posta elettronica all'interno di organizzazioni mirate ed eseguire in remoto il malware sui server Microsoft Exchange vulnerabili e facilitare l'accesso a lungo termine.
L'attacco è iniziato con una scansione globale di tutti i server Microsoft Exchange vulnerabili rivolti all'esterno. Quando è stato identificato un server di interesse, gli aggressori hanno sfruttato un exploit remoto zero-day tipo SSRF (server-side request forgery) per caricare una shell web nota come China Chopper. Questa shell web ha permesso agli aggressori di rubare i dati delle e-mail e di penetrare potenzialmente nell'ambiente di rete.
Si noti che questa vulnerabilità non sembra avere un impatto su Microsoft Office 365.
I clienti Vectra con Detect dovrebbero rivedere tutti i rilevamenti associati ai loro server Exchange. La reverse shell documentata negli attacchi attiverà un rilevamento di Accesso remoto esterno e l'esfiltrazione di dati dal server Exchange attraverso quel canale attiverà un allarme Smash & Grab. Qualsiasi segno di ricognizione interna o di movimento laterale dal server Exchange deve essere esaminato con attenzione, in quanto questi avvisi indicherebbero un movimento dell'attaccante più profondo nella rete.
Clienti Vectra con Recall o Stream dovrebbero controllare le connessioni da e verso il proprio server Exchange. Nei casi in cui i sensori Vectra hanno visibilità sul traffico out-to-in verso i loro server Exchange, i team devono verificare i tentativi di connessione da uno dei seguenti IP: 165.232.154.116, 157.230.221.198, e 161.35.45.41. Utilizzate le query seguenti per trovare gli host potenzialmente interessati.
{
"query": {
"bool":{
"dovrebbe": [
{
"match_phrase": {
"id.orig_h": "165.232.154.116"
}
},
{
"match_phrase": {
"id.orig_h": "157.230.221.198"
}
},
{
"match_phrase": {
"id.orig_h": "161.35.45.41"
}
}
],
"minimum_should_match": 1
}
}
}
Come sempre, Vectra consiglia ai clienti di aggiornare i propri server Exchange con le patch disponibili di Microsoft il prima possibile, oppure di limitare l'accesso esterno a questi server Exchange fino a quando non sarà possibile applicare una patch.
Per saperne di più su come Vectra può aiutarvi se pensate di essere stati compromessi dalla violazione, programmate una demo per vedere come Vectra può rilevare e fermare attacchi come questi nella vostra organizzazione o contattateci.