Da diversi giorni è in corso un intenso attacco informatico contro i server Exchange di Microsoft. Un gruppo criminale starebbe tentando di diffondere una backdoor sfruttando un paio di vulnerabilità cosiddette zero-day.
Sarebbero oltre 200.000 i server potenzialmente interessati dall’attacco. Potenzialmente perché, di fatto, parliamo di server vulnerabili a due precise falle, ma il numero di aziende effettivamente colpite dagli hacker è verosimilmente molto più piccolo. I server in questione sono le versioni installate a livello locale, mentre i server Exchange ospitati sulla piattaforma cloud di Microsoft dovrebbero essere al sicuro.
Secondo alcuni esperti di sicurezza informatica – che hanno indagato l’incidente -, è probabile che dietro all’attacco ci sia lo zampino di un gruppo di hacker cinesi, forse formalmente affiliato con Pechino. Il primo rapporto sull’attacco è arrivato dai ricercatori dell’azienda vietnamita GTSC.
Microsoft nel frattempo ha pubblicato maggiori informazioni sulle due falle:
- CVE-2022-41040 è una vulnerabilità di falsificazione
- CVE-2022-41082 consente invece di eseguire un codice malevolo da remoto, usando PowerShell
Semplificando, la prima falla consentirebbe di accedere e sfruttare la seconda per installare una backdoor crittografata. La buona notizia – spiega Microsoft – è che di per sé le due vulnerabilità zero-day non sarebbero sufficienti ad aggredire i server dei clienti: è necessario che gli hacker siano anche in possesso delle credenziali di almeno un account aziendale.
Microsoft ha già annunciato di star lavorando con la massima celerità allo sviluppo di una patch, in modo da rimuovere le due vulnerabilità e neutralizzare questa tipologia di attacco.