Microsoft Exchange è sotto attacco hacker, ma non per i clienti BlackBerry. Vediamo perché.

Alcune vulnerabilità di Microsoft Exchange sono state sfruttate da Hafnium, un gruppo di cybercriminali operanti dalla Cina, per violare le caselle di posta elettronica delle aziende al fine di sottrarne il contenuto. Microsoft consiglia di aggiornare il software, che è molto usato anche in Italia.

Cosa sappiamo

Ad oggi, abbiamo una stima di almeno 60.000 clienti con Microsoft Exchange che sono stati vittima dell’attacco, inclusa l’EBA (European Banking Authority). Un attacco senza precedenti per un sistema di posta elettronica così diffuso, dietro il quale troviamo l’azione di un gruppo di hacker denominato Hafnium, che si presume essere sponsorizzato dallo stato cinese.

All’inizio di gennaio, Microsoft è stata informata su un elenco di vulnerabilità sfruttabili dallo 0day ed ha di conseguenza rilasciato delle patch di protezione. Maggiori informazioni, come aggiornamenti ed elenco degli IOCs (indicators of compromise) sono pubblicati sul sito del vendor.

L’attacco

Sfruttando alcune vulnerabilità presenti in Microsoft Exchange, gli attaccanti possono compiere una serie di azioni, quali:

-          Eseguire codice come System, con il massimo privilegio di sistema

-          Eseguire qualunque richiesta ed autenticarsi su Exchange

-          Scrivere qualunque file sul server Exchange

-          Compromettere le credenziali legittime degli amministratori

In seguito alle azioni di accesso di cui sopra, gli attaccanti possono poi:

-          Eseguire una WebShell sui sistemi violati per esfiltrare i dati. La web shell, protetta da password, è semplice nell'uso ed è accessibile dai principali tipi di browser: con essa, l'attaccante ottiene privilegi amministrativi per accedere ai server di posta vittima dell'attacco  

-          Utilizzare JavaScript, Memory Exploitation, PowerShell Snap ins, Encrypt/Zip data (per l’esfiltrazione)

Come le soluzioni BlackBerry proteggono i clienti

Hafnium è un ottimo esempio dove sia le funzionalità UEM che le funzionalità UES di BlackBerry risultano essere efficaci nel proteggere il cliente in maniera preventiva.

Lato BlackBerry UEM, gli utenti che utilizzano BlackBerry Work accedono in sicurezza alla propria casella di posta su Exchange e sono protetti da questo tipo di attacco. In aggiunta, la connettività sicura inclusa nella soluzione UEM tramite BSCP (BlackBerry Secure Connect Plus) e BSG (BlackBerry Secure Gateway)  garantisce l'accesso ad Exchange on-premise senza dover esporre il server di posta su Internet, in modo da annullare i rischi derivanti da questo tipo di vulnerabilità (come nel caso di Hafnium). 

Lato BlackBerry UES, BlackBerry Protect, Optics e Guard bloccano questo tipo di attacco. Vediamo come.

BlackBerry Protect protegge da ulteriori violazioni di un sistema, grazie alle policy configurate per ogni dispositivo, in particolare:

-          Memory Protection, che impedisce il dumping delle credenziali, terminando il tool Procdump utilizzato durante l’attacco prima che l’estrazione dalla memoria LSASS sia completata  

-          Script Control, che impedisce l’impiego arbitrario di PowerShell e blocca i relativi comandi associati ad Hafnium

BlackBerry Optics protegge dal comportamento malevolo di un processo sul sistema, in particolare quattro regole ufficiali, preesistenti nel prodotto (regole CAE – Context Analysis Engine), prevengono l’azione degli attaccanti:

-          PowerShell Download

-          Fileless PowerShell Malware

-          PowerShell Encoded Command

-          Hidden PowerShell Execution

Inoltre, una regola personalizzata addizionale (Win Procdump Lsass Cred Theft Mitre) può essere abilitata secondo le istruzioni fornite nell’articolo KB000075192 | HAFNIUM Malware Optics Rules.  

BlackBerry Guard, il servizio MDR e di Threat Hunting di BlackBerry, mitiga la minaccia grazie a:

-          Monitoraggio degli alert 24x7 in tempo reale

-          Threat hunting 24x7 proattivo

-          Configurazione guidata delle policy ed correzione delle lacune nella configurazione delle policy

-          Impiego di threat intelligence aggiornata verso le minacce più recenti

Perché BlackBerry è meglio

BlackBerry offre una soluzione completa per prevenire, rilevare e rispondere in tempo reale alla minaccia, senza dover ricorrere a patch, aggiornamenti o connettività verso il cloud.

La soluzione nativa di Microsoft Defender invece non è stata in grado di proteggere il sistema da queste vulnerabilità prima dell’esecuzione degli attacchi. Anche un approccio di difesa a strati o layer è poco efficace o nullo se il vendor del sistema operativo ed il vendor per la protezione è uno ed è lo stesso; si finisce comunque a dover dipendere dal rilascio delle patch da parte del vendor sottostante (Microsoft in questo caso).

Le funzionalità di Script Control e di Memory Protection indicate per Protect sono incluse come offerta standard, non sono costosi add-on come invece troviamo nella maggior parte degli altri vendor EPP.

Le funzionalità di EDR preventivo, oltre all’analisi della root cause ed al threat hunting esteso, sono tutte incluse come offerta standard in Optics, laddove la maggior parte degli altri vendor EDR si limita ad una vista sull’ambiente post-attacco.