Passa ai contenuti principali

"Interessante" novità sul mail server Microsoft

Due giorni fa la "Cybersecurity & Infrastructure Security Agency" degli Stati Uniti ha emesso un alert urgente perché sono state rilevate attività di attacco che sfruttano vulnerabilità zero-day del mail server Microsoft.

Ho pensato di scrivere due note su questa faccenda perché si collega molto bene a vari temi trattati nel corso "Cybersecurity 101" che ho concluso pochi giorni fa.

Questa breve frase, che ho suddiviso in lista per chiarezza, dice più o meno tutto sull'attacco. 

  • Cybersecurity and Infrastructure Security (CISA) partners have observed active exploitation of vulnerabilities in Microsoft Exchange Server products.
  • Successful exploitation of these vulnerabilities allows an unauthenticated attacker to execute arbitrary code on vulnerable Exchange Servers, enabling the attacker to gain persistent system access, as well as access to files and mailboxes on the server and to credentials stored on that system.
  • Successful exploitation may additionally enable the attacker to compromise trust and identity in a vulnerable network.
  • Microsoft released out-of-band patches to address vulnerabilities in Microsoft Exchange Server.
Altra cosa importantissima, aggiunta notate bene il giorno successivo alla pubblicazione dell'alert:
  • CISA is aware of threat actors using open source tools to search for vulnerable Microsoft Exchange Servers. This particular type of attack is scriptable, allowing attackers to easily exploit vulnerabilities through automated mechanisms. CISA advises all entities to patch as soon as possible to avoid being compromised.  

Qualche considerazione di collegamento con il corso:

  • Questi attacchi non potevano essere prevenuti perché sfruttano vulnerabilità cosiddette zero-day, cioè sconosciute a Microsoft. Sono stati rilevati dopo che sono stati eseguiti ed erano ancora operanti.
    • Tema del corso: non insistere (solo) sulla prevention ma investire in detection.
  • Il solo modo per difendersi da questo grave problema consiste nell'applicare i patch al software del mail server appena rilasciati da Microsoft. 
    • Tema del corso: la sicurezza di una organizzazione non si può gestire con l'approccio "metto a posto tutto e poi mi dimentico della sicurezza". Anche se una organizzazione avesse risolto tutti i propri problemi due settimane fa, ecco un nuovo grave problema da gestire; certamente tra un mese o anche meno ce ne saranno altri.
  • Gli attaccanti remoti possono eseguire codice a loro piacimento anche senza essere autenticati.
    • Tema del corso: se un dispositivo collegato a Internet ha una vulnerabilità, l'attaccante la conosce, sa come sfruttarla, è sufficientemente motivato, allora l'attaccante può prendere il controllo del dispositivo. Quindi prima di collegare un dispositivo ad Internet occorre pensarci molto bene. Purtroppo qui la situazione è la peggiore possibile perché un mail server deve necessariamente essere accessibile da Internet. Non bisogna pensare "posso stare tranquillo perché il dispositivo è protetto da password", perché questo ragionamento ha senso solo se il dispositivo non ha nessuna vulnerabilità "pre-auth". 
  • Le organizzazioni con un mail server Microsoft accessibile su Internet adesso potrebbero avere un attaccante con "persistent access" su qualche nodo interno (secondo punto della lista; gran parte dell'alert è focalizzato proprio su questo aspetto).
    • Tema del corso: difendere una organizzazione assumendo un threat model "network attacker", cioè attaccante che può manipolare il traffico di rete ma non può espugnare nessun nodo, significa essere enormemente ottimisti. Il solo threat model realistico oggi è il cosiddetto "assume breach", cioè partire dal presupposto che su qualche nodo interno è presente un attaccante. Il che ha enormi implicazioni, ad esempio per le modalità di amministrazione remota (quali credenziali si usano per fare amministrazione remota di workstation?) e per la gestione dei diritti di accesso (siamo certi che ogni utente abbia solo i diritti che gli sono strettamente necessari?).
  • Gli attacchi rilevati nei giorni precedenti sono stati attribuiti a gruppi associati a stati, quindi attacchi mirati e motivati dall'accesso ad informazioni (APT: Advanced Persistent Threat). Adesso che è nota l'esistenza di vulnerabilità così gravi, i gruppi criminali cercheranno di sviluppare exploit per queste vulnerabilità ed utilizzarli per attacchi non mirati con motivazioni  finanziarie (vedi la raccomandazione aggiunta il giorno successivo alla pubblicazione dell'alert, cioè ieri).
    • Tema del corso: applicare i patch ed applicarli rapidamente. Il rischio infatti si amplifica non appena la vulnerabilità viene resa pubblica.
    • Tema del corso: il ragionamento "ma chi vuoi che sia interessato ad attaccare proprio me???" non ha nessun senso. E' molto raro l'attacco in cui si sceglie il bersaglio e poi si cerca di capire cosa fare, ma è molto più frequente il contrario: si sceglie l'attacco e poi si cercano i bersagli. Esattamente ciò che sta accadendo adesso: "CISA is aware of threat actors using open source tools to search for vulnerable Microsoft Exchange Servers".  Quando l'attacco è automatizzabile allora può essere effettuato su larga scala, il che è proprio questo caso: "This particular type of attack is scriptable, allowing attackers to easily exploit vulnerabilities through automated mechanisms".
    • Tema del corso: il meccanismo di difesa di gran lunga più importante ed efficace è applicare i patch ("CISA advises all entities to patch as soon as possible to avoid being compromised"). Niente di particolarmente sorprendente o tecnicamente affascinante.
A proposito dell'ultimo punto, trovare un bersaglio potenziale è facilissimo: basta cercare su shodan i mail server Microsoft accessibili su Internet (esistono già delle query predisposte...non metto il link ma sono su shodan): è molto probabile che una percentuale elevatissima di questi non abbia ancora applicato i patch Microsoft.

Io sono andato a cercare quelli che si trovano in Italia e quelli che si trovano a Trieste. Purtroppo lo può fare chiunque.

Commenti

Popular Posts

"Ingegneria deve essere difficile"

Il ritaglio di giornale qui sotto ricorda uno degli eventi più non-trovo-un-aggettivo-appropriato del mio periodo di studente di Ingegneria a Pisa. Ricordo che una mattina iniziò a spargersi la voce "hanno murato la porta del dipartimento!".  Andammo subito a vedere ed arrivammo un pò prima dei giornalisti che scattarono questa foto. La porta era murata, intonacata, pitturata di bianco e sovrastata da una scritta "INGEGNERIA DEVE ESSERE DIFFICILE". Le "E" di "INGEGNERIA" erano scritte al contrario perché era una sorta di "marchio di fabbrica" della facoltà di Ingegneria di Pisa. L'aula più grande, quella in cui pressoché tutti gli studenti seguivano i corsi dei primi anni, aveva infatti alcuni bellissimi "affreschi scherzosi" che furono fatti nel corso delle proteste studentesche di qualche anno prima ed in cui la parola "Ingegneria" era appuntoi scritta in quel modo. Si era anche già sparsa la voce di cosa era

Perché studiare Analisi Matematica???

Un mio caro amico mi ha scritto: ...sono con mia figlia che studia Analisi 1...A cosa serve, al giorno d'oggi, studiare Analisi (a parte sfoltire i ranghi degli aspiranti ingegneri)? Riporto la mia risposta di seguito, forse può "motivare" qualche altro studente. ... Per un ingegnere la matematica è fondamentale perché è un linguaggio ; ed è il linguaggio essenziale per trattare gli argomenti che dovrà affrontare come ingegnere; non sono importanti i contenuti specifici; è importante, anzi fondamentale, che riesca a capirli, ricostruirli etc. ad esempio, chi deve usare l'inglese, lo usa perché in un modo o nell'altro lo conosce; nessuno di noi ha usato esattamente le frasi o i dialoghi o le regole che ha incontrato negli esercizi di inglese o di tedesco; nella matematica è lo stesso; non sono importanti i limiti, le serie, i teoremi di cauchy o che so io; ma se uno non è in grado di capire quel linguaggio allora non sarà in grado di capire davvero quas

La PhD school più importante della mia vita

Mi è tornata in mente proprio in questi giorni che ho iniziato il corso di Cybersecurity , nel quale parlo più volte dei design principles proposti da Saltzer e Schroeder nel loro capolavoro del 1974 . Se potessi incontrare Mike Schroeder oggi gli esprimerei con grande entusiasmo la mia ammirazione per quel suo capolavoro, nonostante la mia veneranda età e nonostante non abbia più la passione per la tecnologia e la ricerca che avevo da giovane. La cosa curiosa è che Mike Schroeder l'ho incontrato proprio quando ero giovane ed entusiasta: era un docente di quella PhD school...solo che non sapevo nulla di cybersecurity e quindi non ero a conoscenza di quel suo capolavoro, nonostante lo avesse scritto quasi venti anni prima! Mea culpa, mea grandissima culpa. Lisboa 92 - An advanced course on distributed systems Sono stato studente di solo due PhD schools...il titolo di questo blog post è quindi un pò clickbait . Comunque, Lisboa 92 è stata davvero molto importante per me. Non tanto

40 anni di Internet: Cosa non ha funzionato e perché

Leggo molti documenti tecnico-scientifici per lavoro e, in parte, per "piacere". Molti sono interessanti, alcuni molto interessanti. E' raro che trovi un documento che mi appare illuminante. Questo indicato sotto è uno dei pochi documenti in questa categoria. Sembra banale, in quanto è molto discorsivo e parla di molte cose note: IP, DNS, NAT.... In realtà è profondissimo. Una miniera di riflessioni profonde, sintetiche, focalizzate ed, appunto, illuminanti. A mio parere imperdibile per chiunque abbia un qualche interesse negli aspetti tecnici di Internet. Chi non ha la pazienza di leggerlo per intero, legga almeno gli ultimi due paragrafi. Failed Expectations (l'autore, Geoff Houston , fa parte della Internet Hall of Fame )

Il patch che non era un patch

Quanto segue è un patetico quanto inutile tentativo di distrarmi e non pensare alla pessima prestazione calcistica di ieri sera, decisamente non all'altezza dell'evento e dei nostri gloriosi colori. Nella lezione di "Computer Networks and Principles of Cybersecurity" di ieri, mi è stata posta la domanda " E' possibile che un patch introduca nuove vulnerabilità? ". La mia risposta è stata affermativa, ho evidenziato che un patch è un software, quindi può introdurre errori, vulnerabilità, può fare riemergere errori o vulnerabilità presenti e risolti in versioni precedenti, può correggere la specifica vulnerabilità presumibilmente risolta da quel patch solo in parte. Non è frequente, ma può accadere ed è quindi una possibilità da tenere presente. Uno dei numerosi motivi che rendono così complessa la gestione delle vulnerabilità è anche questo. Stamattina ho letto un esempio molto interessante di quanto abbiamo detto. Pochissime settimane fa Microsoft ha ril