- Il confronto
- Tutorial
- Microsoft avverte che anche i server Exchange con patch possono essere attaccati
L'analisi di Microsoft della serie di attacchi che sfruttano le vulnerabilità zero-day dei server Exchange, ora corrette, rivela che la minaccia non si ferma semplicemente con l'applicazione di patch. L'attore cinese Hafnium, sponsorizzato dallo stato, è stato accusato di essere il primo a sfruttare le vulnerabilità note come vulnerabilità ProxyLogon. Utilità come lo strumento One-Click di Microsoft hanno contribuito a garantire che oltre il 90% dei server, inclusi molti di piccole imprese prive di team IT e di sicurezza dedicati, ora abbiano eliminato le vulnerabilità. Tuttavia, la minaccia è lungi dall’essere superata. "Molti sistemi compromessi non hanno ancora ricevuto azioni secondarie, come attacchi ransomware di origine umana o esfiltrazione di dati, indicando che gli aggressori potrebbero stabilire e mantenere il loro accesso per possibili azioni future", ha avvertito la società.
LaComparacion ha bisogno di te! Stiamo dando un'occhiata a come i nostri lettori utilizzano le VPN per un prossimo rapporto approfondito. Ci piacerebbe sentire la tua opinione nel sondaggio qui sotto. Non ci vorranno più di 60 secondi del tuo tempo.
Fare clic qui per avviare il sondaggio in una nuova finestra
Secondo ciao?
Sebbene alla maggior parte dei server siano state applicate patch, motivo di preoccupazione sono i rapporti di esperti di sicurezza come ESET, che hanno osservato più di 5.000 server compromessi. Nelle settimane successive alla scoperta delle vulnerabilità e al rilascio delle patch, i ricercatori di sicurezza hanno rilevato diversi attacchi ai server Exchange, come ad esempio l'attacco ransomware DearCry operato da esseri umani. In un post sul blog, il team di intelligence sulle minacce di Microsoft 365 Defender ha ora condiviso le “tendenze delle minacce” osservate nell’ambito delle indagini sugli attacchi. Oltre agli attacchi umani che rilasciano malware come ransomware sui server, il team ha rilevato diversi casi di attacchi web shell e furto di credenziali. I ricercatori ritengono che questi potrebbero essere potenzialmente utilizzati per tracciare gli attacchi. Hanno condiviso un’analisi dettagliata di diverse attività note post-compromissione, esortando gli amministratori a rafforzare l’igiene delle credenziali per impedire agli autori delle minacce di riottenere l’accesso ai server. Ha inoltre pubblicato strumenti e guide per aiutare a rimuovere le web shell conosciute e gli strumenti di attacco, condividendo al contempo alcune best practice per aiutare gli amministratori a gestire server con privilegi minimi per ridurre al minimo i danni in caso di compromissione. Tramite: ZDNet