Minacce informatiche: attacchi ai server Microsoft Exchange
Recentemente, attori di minacce non identificati sono stati osservati mentre prendevano di mira i server Microsoft Exchange esposti pubblicamente. Questi attacchi mirano a iniettare codice malevolo nelle pagine di login per raccogliere le credenziali degli utenti. Secondo un’analisi pubblicata da Positive Technologies, sono stati identificati due tipi di codice keylogger in JavaScript sulla pagina di login di Outlook. Uno salva i dati raccolti in un file locale accessibile via internet, mentre l’altro invia immediatamente i dati a un server esterno.
Campagna di attacchi globale
La società di sicurezza informatica russa ha rilevato che gli attacchi hanno colpito 65 vittime in 26 paesi, continuando una campagna iniziata nel maggio 2024, che ha preso di mira entità in Africa e Medio Oriente. All’epoca, erano state identificate almeno 30 vittime, tra cui agenzie governative, banche, aziende IT e istituzioni educative, con prove di compromissioni risalenti al 2021.
Vulnerabilità sfruttate
Gli attacchi sfruttano vulnerabilità note nei server Microsoft Exchange, come ProxyShell, per inserire codice keylogger nella pagina di login. Alcune delle vulnerabilità utilizzate includono:
- CVE-2014-4078 – Vulnerabilità di bypass delle funzionalità di sicurezza di IIS
- CVE-2020-0796 – Vulnerabilità di esecuzione di codice remoto del client/server SMBv3 di Windows
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 – Vulnerabilità di esecuzione di codice remoto del server Microsoft Exchange (ProxyLogon)
- CVE-2021-31206 – Vulnerabilità di esecuzione di codice remoto del server Microsoft Exchange
- CVE-2021-31207, CVE-2021-34473, CVE-2021-34523 – Vulnerabilità di bypass delle funzionalità di sicurezza del server Microsoft Exchange (ProxyShell)
Metodi di esfiltrazione dei dati
Il codice JavaScript malevolo legge e processa i dati dal modulo di autenticazione, inviandoli tramite una richiesta XHR a una pagina specifica sul server Exchange compromesso. Il codice sorgente della pagina di destinazione contiene una funzione che legge la richiesta in arrivo e scrive i dati in un file sul server, accessibile da una rete esterna. Alcune varianti del keylogger raccolgono anche cookie utente, stringhe User-Agent e timestamp, riducendo al minimo le possibilità di rilevamento poiché non c’è traffico in uscita per trasmettere le informazioni.
Un’altra variante utilizza un bot di Telegram come punto di esfiltrazione tramite richieste XHR GET, con login e password codificati memorizzati negli header APIKey e AuthToken. Un secondo metodo prevede l’uso di un tunnel DNS insieme a una richiesta HTTPS POST per inviare le credenziali utente e superare le difese di un’organizzazione.
Settori colpiti
Tra i server compromessi, 22 sono stati trovati in organizzazioni governative, seguiti da infezioni in aziende IT, industriali e logistiche. Questi attacchi evidenziano la necessità di una maggiore attenzione alla sicurezza dei server Microsoft Exchange esposti pubblicamente.
Fonte: The Hackers News
