Il grande hack della posta elettronica di Microsoft: cosa è successo, chi l'ha fatto e perché è importante

• Il 2 marzo, Microsoft ha dichiarato che c'erano delle vulnerabilità nel suo software di posta e calendario Exchange Server. Le vulnerabilità risalgono a 10 anni fa e sono state sfruttate dagli hacker cinesi almeno da gennaio.
  
• Il gruppo, che Microsoft ha soprannominato Hafnium, ha l'obiettivo di ottenere informazioni da appaltatori della difesa, scuole e altre entità negli Stati Uniti, secondo un post sul blog del vicepresidente di Microsoft Tom Burt.
  
• L'hacking potrebbe indurre le aziende a spendere di più in software di sicurezza e ad adottare la posta elettronica basata su cloud invece di gestire internamente i propri server di posta elettronica.
  

Image by vectambulist from Pixabay (modificata)

Nei primi giorni di marzo Microsoft ha rivelato che hacker cinesi stavano ottenendo l'accesso agli account di posta elettronica delle organizzazioni attraverso le vulnerabilità nel suo software di posta elettronica Exchange Server e ha rilasciato patch di sicurezza.

I patch, per chi non ha nozioni di informatica, indicano una porzione di software progettata per aggiornare o migliorare un programma. Ciò include la risoluzione di vulnerabilità di sicurezza e altri bug generici.

L'hacking che ha coinvolto Microsoft si distinguerà probabilmente per essere uno dei principali eventi di sicurezza informatica dell'anno, poiché Exchange è ancora ampiamente utilizzato in tutto il mondo. Ciò potrebbe indurre le aziende a spendere di più in software di sicurezza per prevenire futuri attacchi e a passare alla posta elettronica basata su cloud invece di gestire i propri server di posta elettronica internamente.

I reparti IT stanno lavorando per applicare gli aggiornamenti, ma ciò richiede tempo e la vulnerabilità è ancora molto diffusa. Dopo una approfondita analisi realizzata per conto di alcune società che si occupano di digital security negli USA si è rilevato che ci sono oltre 99.000 server on-line che eseguono software Outlook Web Access senza patch.

Microsoft ha dichiarato che c'erano delle vulnerabilità nel suo software di posta e calendario Exchange Server per i data center aziendali e governativi. L'azienda ha rilasciato patch per le versioni 2010, 2013, 2016 e 2019 di Exchange.

Microsoft, inoltre, ha affermato che il principale gruppo che sfrutta le vulnerabilità è un gruppo di stati-nazione con sede in Cina chiamato Hafnium.
Gli attacchi al software Exchange sono iniziati all'inizio di gennaio, secondo la società di sicurezza Volexity, a cui Microsoft ha riconosciuto il merito di aver identificato alcuni dei problemi.

Tuttavia, le quattro vulnerabilità rivelate da Microsoft non interessano Exchange Online, il servizio di posta elettronica e calendario basato su cloud di Microsoft incluso nei pacchetti di abbonamento commerciali di Office 365 e Microsoft 365.

Cosa prendono di mira gli aggressori?

Il gruppo ha l'obiettivo di ottenere informazioni da appaltatori della difesa, scuole e altre entità negli Stati Uniti, ha scritto nel proprio blog uno dei vicepresidenti di Microsoft Tom Burt. Le vittime includono gli Stati Uniti, secondo la società di sicurezza FireEye, e la città di Lake Worth Beach, in Florida, secondo il Palm Beach Post ma anche l'autorità bancaria europea ha dichiarato di essere stata colpita dall'attacco.

I media negli USA hanno pubblicato stime variabili sul numero delle vittime degli attacchi. Venerdì il Wall Street Journal, citando una persona anonima, ha detto che potrebbero essere 250.000 o più.

A questo punto ci si chiede se le patch bandiranno gli aggressori dai sistemi compromessi ma Microsoft ha detto di no.

Cosa sta facendo Microsoft?

Microsoft incoraggia i clienti a installare le ultime patch di sicurezza fornite, ed ha anche fornito informazioni per aiutare i clienti a capire se le loro reti sono state colpite.

Lunedì la società ha reso più facile per le aziende trattare la propria infrastruttura rilasciando patch di sicurezza per le versioni di Exchange Server che non disponevano degli aggiornamenti software disponibili più recenti. Fino a quel momento Microsoft aveva affermato che i clienti avrebbero dovuto applicare gli aggiornamenti più recenti prima di installare le patch di sicurezza, il che ha ritardato il processo di gestione dell'hacking.

Stiamo lavorando a stretto contatto con la CISA [la Cybersecurity and Infrastructure Security Agency], altre agenzie governative e società di sicurezza per garantire che stiamo fornendo la migliore guida e mitigazione possibili per i nostri clienti, la migliore protezione, è applicare gli aggiornamenti il ​​prima possibile a tutti i sistemi interessati. Continuiamo ad aiutare i clienti fornendo ulteriori indagini e indicazioni sulla mitigazione. I clienti interessati devono contattare i nostri team di supporto per ulteriore assistenza e risorse."
(da una informativa inviata alla CNBC da Microsoft)

---

Letture correlate:

• Capire gli attacchi informatici: la cyber kill chain
• Internet non è un paese per vecchi
• I 5 segnali di allarme che possono salvare le aziende da un attacco informatico di ransomware
• Usare il PC di casa per fare smart working è sicuro?
  

---

Scopri come trasformare il tuo spazio di lavoro!
Contattaci ora +39 0422 431640 oppure scrivici:

Contatti