cs@s-mart.biz +39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
cs@s-mart.biz
+39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
SEQRITE
  • PRODOTTI
  • RISORSE
  • SUPPORTO
  • PARTNER
  • NEWS
  • CHI SIAMO
  • CONTATTI
  • PRODOTTI

    PROTEZIONE ENDPOINT E DATI

    »Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
    • Seqrite mSuite

    SICUREZZA GATEWAY

    »Unified Threat Management (UTM)

    PROTEZIONE SERVER

    »Seqrite Antivirus per Server
  • RISORSE
    News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
    Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
    Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
    Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
    Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
    White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
  • SUPPORTO
    FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
    APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
    Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
    Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
  • PARTNER
    PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
    DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
    LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
    REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
  • NEWS
  • CHI SIAMO
    PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
    LEADERSHIP Management team di Seqrite
    PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore
  • CONTATTI

PROTEZIONE ENDPOINT E DATI

»Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
  • Seqrite mSuite

SICUREZZA GATEWAY

»Unified Threat Management (UTM)

PROTEZIONE SERVER

»Seqrite Antivirus per Server
News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
LEADERSHIP Management team di Seqrite
PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore

30 settembre 2022
Microsoft Exchange: due vulnerabilità 0-day usate in attacchi reali contro le aziende


Microsoft ha confermato la scoperta di due vulnerabilità 0-day in Microsoft Exchange Server 2013, 2016 e 2019. Le due vulnerabilità sono:

  • CVE-2022-41040: vulnerabilità di falsificazione delle richieste lato server;
  • CVE-2022-41082: vulnerabilità di esecuzione codice da remoto quando PowerShell è accessibile all'attaccante. 

Queste le descrizioni brevi di Microsoft rispetto alle due vulnerabilità: la corporation ha comunque fatto sapere di essere già al lavoro per produrre i fix necessari a "tappare" le due falle. 

"Al momento, Microsoft è a conoscenza di attacchi mirati che stanno sfruttando queste due vulnerabilità per accedere ai sistemi degli utenti" ha dichiarato Microsoft.

La società ha aggiunto che la vulnerabilità CVE-2022-41040 può essere sfruttata solo da attaccanti autenticati: se però l'exploit di questa ha successo, l'attaccante può attivare la vulnerabilità CVE-2022-41082.  Sottolineiamo comunque che al momento queste 0-day impattano solo sulle istanze Microsoft Exchange on-premise. 

Le due 0-day sono in uso in attacchi reali contro le aziende

I primi ad individuare queste due vulnerabilità sono stati i ricercatori dell'azienda di cyber security vietnamita GTSC: i ricercatori hanno intercettato una serie di attacchi in corso e hanno scoperto così le vulnerabilità che ne stanno alla base. 

Gli attaccanti stanno usando questa coppia di vulnerabilità per distribuire le webshell Chopper, sviluppate da cyber attaccanti cinesi: queste webshell hanno lo scopo di rubare i dati e hanno dimostrato alte capacità di propagazione grazie alle funzionalità di spostamento laterale sui sistemi lungo le reti bersaglio. GTSC ha proceduto ad avvisare Microsoft celermente, visto che le due vulnerabilità non erano ancora state individuate e pubblicate: i punteggi a loro assegnati sono 8,8 per la prima CVE e 6,3 per la seconda. 

Al momento queste vulnerabilità sono sfruttate per creare backdoor sui sistemi sotto attacco e per eseguire movimenti laterali al fine di infettare anche gli altri server nel sistema. 

Mitigazione temporanea in attesa della patch

GTSC ha pubblicato una serie di misure adottabili come mitigazione temporanea del problema, così da minimizzare il rischio di attacchi in attesa che Microsoft rende disponibili i necessari fix. Sottolineiamo che i ricercatori GTSC hanno verificato che le versioni Exchange sotto attacco erano aggiornate, quindi lo sfruttamento delle vulnerabilità non è relativo alla vulnerabilità ProxyShell.

Microsoft ha spiegato che i clienti che utilizzano Microsoft Exchange in locale devono verificare e applicare le seguenti istruzioni di URL Rewrite e bloccare le porte remote PowerShell esposte. La mitigazione, in pratica, consiste nell'aggiungere una regola IIS capace di bloccare le richieste di connessione al componente vulnerabile. 

Per fare ciò, GTSC consiglia di cercare il sito Autodiscover tra quelli creati in IIS, quindi aggiungere all'URL rewrite una nuova regola che blocchi le richieste. 

  • Apri IIS Manager
  • espandi Defaul Web Site
  • seleziona Autodiscover
  • clicca su URL Rewrite
  • aggiungi una nuova regola
  • seleziona il Blocco Richieste e clicca su OK
  • aggiungi la stringa .*autodiscover\.json.*\@.*Powershell.*nel campo Pattern e clicca su OK
  • scegli Regular expression e in Condition Input imposta {REQUEST_URI}.

Dato che gli attaccanti possono ottenere l'accesso anche al PowerShell Remoting nei server Exchange esposti e vulnerabili tramite l'exploit della  CVE-2022-41082, Microsoft consiglia anche di bloccare le seguenti porte Remote PowerShell:

  • HTTP: 5985
  • HTTPS: 5986

Ulteriori informazioni tecniche, indicatori di compromissione e info sono disponibili nella "Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server"

Ultime news

Per saperne di più

Expiro: un vecchio malware risorge e lancia una nuova sfida

22 marzo 2023

Alcuni utenti hanno recentemente subito una nuova infezione. Velocemente abbiamo verificato come questo attacco fosse dovuto a Exp...

Per saperne di più

La criptazione end-to-end rende difficile per le forze dell'ordine reprimere il crimine. Parola del CTO di Quick Heal

15 marzo 2023

traduzione dell'articolo di NABEEL AHMED su "The Hindu.com" - End-to-end encryption makes it difficult for law enforcement agencie...

Per saperne di più

Cyber Security Alert: Quick Heal mira ad espandere il suo ramo aziendale Seqrite

08 marzo 2023

traduzione dell'articolo Cyber Security Alert: Quick Heal Aims To Expand Its Enterprise Arm di Entrepreneur IndiaCon l'e...

Supporto

Vedi le FAQ
Supporto Utenti
Partner Program
Diventa Partner
Community Seqrite

Risorse

News
White Papers
Report sulle minacce
Manuali
Case Studies

Chi siamo

Panoramica
Perché Seqrite
Leadership
Premi e Certificazioni
Contatti





P.IVA: 05345670482   
© S-MART è un marchio di proprietà netWork Sas