Dirk-jan Mollema di Fox-IT: Microsoft Exchange 2013 e le sue versioni più recenti sono vulnerabili ad attacchi hacker, che potrebbero portare all’escalation di privilegi fino ad arrivare a ottenere i diritti di amministratore del dominio
Microsoft Exchange 2013 e le sue versioni più recenti sono vulnerabili ad attacchi hacker, che potrebbero portare all’escalation di privilegi fino ad arrivare a ottenere i diritti di amministratore del dominio. Lo ha scoperto il ricercatore di cyber security, Dirk-jan Mollema, di Fox-IT e ha spiegato che succede nello studio PrivExchange. Il risultato può essere raggiunto sfruttando in un un’unica aggressione cibernetica tre diverse falle presenti in alcune configurazioni di Exchange. Queste fanno sì che un aggressore, il quale ha infettato il computer, possa usare le credenziali della vittima e impersonarlo sul server per applicare le modifiche che vuole, senza far scattare nessun allarme. A quel punto ha il pieno controllo del sistema e potrà fare ciò che vuole. L’unico limite è dato dal fatto che la macchina dell’attaccante debba essere collegata allo stesso network della vittima.
I pericoli di cyber attacchi tramite il software, fortunatamente, si possono mitigare: ecco come
Ci sono, fortunatamente, delle tecniche di mitigazione del pericolo di compromissione. Innanzitutto bisogna rimuovere i privilegi elevati non necessari di Exchange. Ciò ridurrà quella che si chiama la “superficie d’attacco” di un hacker malevolo. Inoltre, vanno attivate le firme e il canale del protocollo LDAP (Lightweight Directory Access Protocol). E’ necessario anche bloccare la possibilità per i server di Exchange di connettersi alle workstations, attraverso porte arbitrarie. Infine, serve abilitare la protezione estesa per l’autenticazione sui servizi d’informazione internet (IIS) dei dispositivi endpoint e rimuovere le chiavi di registro che rendono possibile la ritrasmissione. E’ utile anche rafforzare la firma SMB sui server Exchange (e preferibilmente su tutti gli altri e sulle stazioni di lavoro nel dominio) e disabilitare le sottoscrizioni EWS pish/pull non utilizzate.
