Sembrano passati mesi e mesi da quando la notizia dell’attacco di SolarWinds è stata pubblicata e il danno dell’hack è stato rivelato. Circa 18.000 aziende in tutto il mondo sono state attaccate in quello che sembra uno dei più grandi attacchi organizzati in molti anni.
Questo è ora sminuito dal nuovo recente attacco, soprannominato Exchange Marauder. In questo caso, gli hacker cinesi di un gruppo chiamato Hafnium hanno preso di mira i server Microsoft Exchange in tutto il mondo. Il numero di organizzazioni colpite da questo attacco avrebbe raggiunto decine di migliaia in tutto il mondo.
Hafnium ha sfruttato le vulnerabilità zero-day in Outlook Web Access dei server Microsoft Exchange per compromettere indiscriminatamente non meno di decine di migliaia di server di posta elettronica.
Secondo Wired, le reti interessate sembrano essere state violate indiscriminatamente tramite scansione automatica. Gli attaccanti hanno installato una “shell web”, un punto d’appoggio backdoor basato sul Web accessibile in remoto, sui server Exchange che hanno sfruttato, consentendo loro di eseguire ricognizioni sulle macchine di destinazione e potenzialmente spostarsi su altri computer della rete.
Ridurre la superficie di attacco
Quindi, la domanda da un milione di dollari, è : avrei potuto impedire questo attacco al mio server Exchange?
Sfortunatamente, la risposta è complessa, poiché in questo caso dobbiamo considerare due vettori di attacco:
Vettore 1 – L’attacco del server Exchange stesso
Vettore 2 – Spostamento laterale dal server Exchange ad altri computer e server nella rete
Per quanto riguarda il primo vettore, gli attaccanti hanno utilizzato le vulnerabilità zero-day trovate nel server Exchange, quindi prevenire l’attacco quando si è verificato era impossibile. Fortunatamente, da allora Microsoft ha rilasciato patch per affrontare le vulnerabilità, quindi per ora siamo al sicuro … fino al prossimo attacco zero-day.
Tuttavia, inseguire ogni vulnerabilità di un’applicazione non è pratico a causa dei sempre emergenti attacchi zero-day, e questo fa sì che le organizzazioni siano completamente dipendenti dalle patch di sicurezza fornite dal fornitore di software di terze parti (e, ovviamente, dalle procedure interne per installare le patch al più presto).
L’altro approccio è la ricerca di una soluzione a livello di architettura, ovvero la gestione e la protezione dell’accesso alle risorse in una prospettiva centralizzata basata sulla rete, sia dall’esterno che dagli utenti interni.
Ciò significa che quando si esamina il vettore di attacco iniziale, oltre a patchare il proprio server Exchange, si può anche considerare di nasconderlo dal mondo esterno controllandone l’accesso utilizzando una soluzione ZTNA (Zero-Trust Network Access) o una VPN in combinazione con una soluzione ZTNA.
Per quanto riguarda il secondo vettore, prevenire il movimento laterale è molto complesso. È necessaria una combinazione di micro-segmentazione e controllo dell’accesso tra diversi computer e server sulla rete. Una soluzione semplice può essere quella di aggiungere una soluzione MFA centralizzata che “vede” ogni utente, sistema, server e applicazione nella rete, in modo che quando l’aggressore tenta di accedere a un server dalla macchina infetta, il suo comando WebShell avrebbe richiamato un Richiesta MFA che, fino all’approvazione, avrebbe impedito l’esecuzione del comando.
Con Safe-T ZoneZero® si possono impedire attacchi al server Exchange e spostamenti nella rete!
ZoneZero è una piattaforma di orchestrazione dell’accesso perimetrale che fornisce la gestione centrale di tutte le tecnologie di accesso protetto che aiuta le organizzazioni a ottenere l’accesso alla rete zero-trust (ZTNA) per tutti gli scenari di accesso alle applicazioni, dall’esterno e all’interno della rete.
ZoneZero può combattere il vettore di attacco iniziale, distribuendosi nel perimetro aziendale per “nascondere” il server Exchange da occhi indiscreti. In questa distribuzione, ZoneZero può funzionare da solo, controllando l’accesso al tuo server Exchange utilizzando concetti SDP, oppure può essere distribuito dopo la tua VPN, proteggendo sia la tua VPN con funzionalità ZTNA che l’accesso al tuo server Exchange.
Per combattere il secondo vettore di attacco, si può distribuire ZoneZero all’interno della rete. Ciò consentirà di aggiungere MFA centralizzato a qualsiasi risorsa aziendale (sistema, server, dati, applicazione, ecc.).
L’approccio MFA centralizzato ZoneZero di Safe-T consente ai clienti di integrare facilmente l’autenticazione a più fattori (SMS, messaggi push, biometrici, telegrammi, WhatsApp, API REST) e la consapevolezza dell’identità in tutti gli scenari di accesso: utenti interni e remoti, VPN, web e non applicazioni web.