Si sta verificando un Cyber attacco proveniente dalla Cina contro aziende principalmente italiane. 

Vengono rubati documenti riservati e liste clienti. Le vittime sono ditte medie e grandi anche operanti nell’ambito sanitario, bancario, energetico e delle telecomunicazioni. 

Il cyber attacco agisce sfruttano un bug di Microsoft per il quale esiste una patch, che però non sempre è stata installata o non è stata installata prima che l’attacco avvenisse.

Ricordiamo in generale che mantenere i sistemi aggiornati è fondamentale per la sicurezza dei sistemi, dei dati e la prevenzione da questo genere di attacchi.

Questo cyber attacco è di origine governativa cinese, è stata la stessa Microsoft a darne notizia, imputandolo a "Hafnium" un gruppo che si ritiene sia sponsorizzato dallo stato e operante fuori dalla Cina, sulla base di vittimologia, tattiche e procedure osservate.

"Hafnium" aveva già in precedenza compromesso le vittime dei suoi attacchi, sfruttando le vulnerabilità nei server con connessione a Internet, utilizzando framework open source legittimi, come Covenant, per il comando e il controllo. Una volta ottenuto l'accesso a una rete vittima, Hafnium in genere esfiltra i dati su siti di condivisione di file come MEGA.

In campagne non correlate a queste vulnerabilità, Microsoft ha osservato Hafnium interagire con i tenant di Office 365 della vittima. Sebbene spesso non riescano a compromettere gli account dei clienti, questa attività di ricognizione aiuta l'avversario a identificare maggiori dettagli sugli ambienti dei loro obiettivi.

CVE-2021-26855: vulnerabilità SSRF (server-side request forgery) in Exchange che ha consentito all'autore dell'attacco di inviare richieste HTTP arbitrarie e di autenticarsi come server Exchange.

CVE-2021-26857: vulnerabilità di deserializzazione non sicura nel servizio di messaggistica unificata. La deserializzazione non sicura è il punto in cui i dati non attendibili controllabili dall'utente vengono deserializzati da un programma. Lo sfruttamento di questa vulnerabilità ha dato ad HAFNIUM la capacità di eseguire codice come SYSTEM sul server Exchange. Ciò richiede l'autorizzazione dell'amministratore o un'altra vulnerabilità da sfruttare.

CVE-2021-26858: vulnerabilità di scrittura arbitraria di file post-autenticazione in Exchange. Se Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.

CVE-2021-27065: vulnerabilità di scrittura arbitraria di file post-autenticazione in Exchange. Se Hafnium potesse autenticarsi con il server Exchange, potrebbe utilizzare questa vulnerabilità per scrivere un file in qualsiasi percorso sul server. Potrebbero autenticarsi sfruttando la vulnerabilità SSRF CVE-2021-26855 o compromettendo le credenziali di un amministratore legittimo.

Dopo aver sfruttato queste vulnerabilità per ottenere l'accesso iniziale, i criminali hanno implementato le web shell sul server compromesso. Le shell web potenzialmente consentono agli aggressori di rubare dati ed eseguire ulteriori azioni dannose che portano a ulteriori compromissioni.

I criminali sono stati anche in grado di scaricare la rubrica offline di Exchange dai sistemi compromessi, che contiene informazioni su un'organizzazione e sui suoi utenti.