Il 2 marzo scorso è comparsa sulla scena una nuova vulnerabilità zero-day che ha coinvolto i server di posta elettronica gestiti con Exchange di Microsoft.
Questi nuovi problemi, sfruttati da una community del dark web denominata HAFNIUM, ha già coinvolto numerosi server a livello mondiale nonostante un alert diramato dalla CISA (Cybersecurity & Infrastructure Security Agency) il 2 marzo stesso:
“Microsoft has released out-of-band security updates to address vulnerabilities affecting Microsoft Exchange Server 2013, 2016, and 2019. A remote attacker can exploit three remote code execution vulnerabilities—CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065—to take control of an affected system and can exploit one vulnerability—CVE-2021-26855—to obtain access to sensitive information. These vulnerabilities are being actively exploited in the wild.”
La CISA, così, ha messo in guardia tutti gli administrator di Exchange Server così da sollecitarli ad applicare immediatamente le patch ai loro sistemi che la Microsoft ha rilasciato nei giorni seguenti, ma al contempo il Team Sophos MTR ha pubblicato una guida passo-passo per aiutare ad effettuare la verifica dei propri sistemi ai propri clienti, e la buona notizia è questi avevano già tutti i sistemi per proteggersi da questa vulnerabilità.
Nell’articolo che trovate qui ci sono tutte le indicazioni su come individuare la vulnerabilità e come porteggersi da essa con gli strumenti che Sophos mette a disposizione:
- AV signatures per bloccare HALFNIUM e avvisi o cosa fare se si è colpiti
- Queries per i clienti che hanno la versione EDR dei prodotti in modo da poter investigare e identificare potenziali anomalie
- IPS signatures per i firewall Sophos XG
Tutto questo è stato possibile solo grazie all’organizzazione che ha implementato Sophos attraverso il servizio MTR (Managed Threat Response). Inoltre le possibilità di difesa preventiva derivati dall’utilizzo di prodotti contenenti EDR può fare la differenza per agire immediatamente e scongiurare attacchi come questo che potrebbero comportare problemi importanti per le aziende e per il loro business. Investire prima per non dover spendere il doppio dopo … questa è l’unica politica perseguibile in materia di cybersecurity.
