Milano, 2 settembre 2021- Nel mese di agosto il numero di utenti attaccati da exploit che prendono di mira le vulnerabilità nei server Microsoft Exchange è cresciuto del 170%, passando da 7.342 a 19.839. Tutti i tentativi di attacco sono stati bloccati dai prodotti Kaspersky. Secondo gli esperti di Kaspersky, questa
Le vulnerabilità all'interno del Server Microsoft Exchange hanno già causato diversi problemi quest'anno. Il 2 marzo 2021 è stato individuato all'interno di Microsoft Exchange Server lo sfruttamento "in the wild" delle vulnerabilità zero-day, che sono state poi sfruttate in un'ondata di attacchi alle organizzazioni di tutto il mondo. Durante il 2021, Microsoft ha anche corretto una serie di vulnerabilità ProxyShell: CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207. Questo gruppo di vulnerabilità rappresenta una minaccia critica in quanto consentono ai threat actor di bypassare l'autenticazione ed eseguire un codice come utente privilegiato. Anche se le patch sono state già rilasciate tempo, i criminali informatici non hanno esitato a sfruttarle: ben 74.274 utenti Kaspersky hanno, infatti, riscontrato exploit per le vulnerabilità di MS Exchange negli ultimi sei mesi.
Inoltre, il 21 agosto la Cybersecurity and Infrastructure Security Agency (CISA) ha avvertito del fatto che, negli Stati Uniti, le vulnerabilità di ProxyShell sono state attivamente sfruttate dai criminali informatici in una recente ondata di attacchi. Nel suo advisory, pubblicato il 26 agosto, Microsoft ha spiegato che un server Exchange è vulnerabile se non esegue un aggiornamento cumulativo (CU) che abbia almeno il Security Update (SU) di maggio.
Secondo la telemetria di Kaspersky, nell'ultima settimana estiva sono stati attaccati oltre 1.700 utenti al giorno utilizzando l’exploit ProxyShell, facendo crescere del 170% il numero di attacchi ad agosto 2021, rispetto a luglio 2021. Questi dati evidenziano il fatto che, se lasciate senza patch, queste vulnerabilità rappresentano un problema su larga scala.
"Il fatto che queste vulnerabilità vengano sfruttate attivamente non sorprende. Molto spesso le vulnerabilità 1-day, ovvero quelle che sono già state divulgate e per le quali gli sviluppatori hanno già rilasciato le patch, rappresentano una minaccia ancora più grande in quanto sono note a un ampio numero di criminali informatici che provano a penetrare in qualsiasi rete riescano a raggiungere. Questa crescita degli attacchi dimostra ancora una volta quanto sia essenziale correggere in tempi brevi le vulnerabilità per evitare che le reti vengano compromesse. Raccomandiamo vivamente di seguire i consigli del recente alert di Microsoft per evitare eventuali rischi più gravi", ha commentato Evgeny Lopatin, security researcher di Kaspersky.
I prodotti Kaspersky proteggono dagli exploit che sfruttano le vulnerabilità di ProxyShell con gli strumenti Behavior Detection e Exploit Prevention, e rilevano lo sfruttamento con i seguenti nomi:
• PDM:Exploit.Win32.Generic
• HEUR:Exploit.Win32.ProxyShell.*
• HEUR:Exploit.*.CVE-2021-26855.*
Per proteggersi dagli attacchi che sfruttano queste vulnerabilità, Kaspersky consiglia di:
• Aggiornare il prima possibile il Server Exchange
• Focalizzare la propria strategia di difesa sul rilevamento dei movimenti laterali e dell'esfiltrazione di dati su Internet. Fare particolarmente attenzione al traffico in uscita per rilevare le connessioni dei criminali informatici. Eseguire regolarmente il backup dei dati e assicurarsi di potervi accedere rapidamente in caso di emergenza
• Utilizzare soluzioni come Kaspersky Endpoint Detection and Response e il servizio Kaspersky Managed Detection and Response, che aiutano a identificare e bloccare gli attacchi nelle fasi iniziali, prima che i criminali possano raggiungere i loro obiettivi
• Utilizzare una soluzione di sicurezza degli endpoint affidabile, come Kaspersky Endpoint Security for Business, basata sulla prevenzione degli exploit, il rilevamento del comportamento e un motore di risoluzione dei problemi in grado di ripristinare le azioni dannose. KESB dispone anche di meccanismi di autodifesa che possono impedirne la rimozione da parte dei criminali informatici.
Informazioni su Kaspersky
Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://www.linkedin.com/company/kaspersky-lab-italia
https://www.instagram.com/kasperskylabitalia/
https://t.me/KasperskyItalia
Contatto di redazione:
Noesis
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
