Microsoft è stata costretta a rilasciare patch fuori data per correggere molteplici vulnerabilità zero-day sfruttate dagli attori delle minacce sostenute dallo stato cinese.
Il passaggio insolito è stato eseguito per proteggere i clienti che eseguono versioni locali di Microsoft Exchange Server.
“Negli attacchi osservati, l’attore della minaccia ha utilizzato queste vulnerabilità per accedere ai server Exchange locali che hanno consentito l’accesso agli account di posta elettronica e hanno consentito l’installazione di malware aggiuntivo per facilitare l’accesso a lungo termine agli ambienti delle vittime”, ha affermato Microsoft.
“Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna con grande fiducia ad Hafnium, un gruppo che si stima sia sponsorizzato dallo stato e operante fuori dalla Cina, sulla base di vittimologia, tattiche e procedure osservate”.
I quattro zero-days sono: bug di falsificazione delle richieste lato server CVE-2021-26855, difetti di scrittura arbitraria di file post-autenticazione CVE-2021-27065 e CVE-2021-26858 e CVE-2021-26857, che è una deserializzazione non sicura nel servizio di messaggistica unificata.
Insieme, le vulnerabilità potrebbero consentire agli aggressori di autenticarsi come server Exchange, eseguire codice come sistema e scrivere un file in qualsiasi percorso sul server. Dopo aver sfruttato i quattro bug, si dice che gli aggressori dispieghino shell web che consentono loro di rubare dati ed eseguire ulteriori azioni dannose per compromettere ulteriormente i loro obiettivi.
Secondo Microsoft, gli attori dell’afnio di solito lavorano da server privati virtuali in affitto negli Stati Uniti, rivolgendosi principalmente a settori nel paese come la ricerca sulle malattie infettive, il diritto, l’istruzione superiore, la difesa, i gruppi di riflessione sulle politiche e le ONG.
“L’afnio ha precedentemente compromesso le vittime sfruttando le vulnerabilità nei server con connessione a Internet e ha utilizzato framework open source legittimi, come Covenant, per il comando e il controllo. Una volta che hanno ottenuto l’accesso a una rete vittima, Hafnium in genere esfiltra i dati a siti di condivisione di file come Mega”, ha dichiarato.
“Nelle campagne non correlate a queste vulnerabilità, Microsoft ha osservato che Afnium interagisce con i tenant di Office 365 vittime. Sebbene spesso non riescano a compromettere gli account dei clienti, questa attività di ricognizione aiuta l’avversario a identificare maggiori dettagli sugli ambienti dei loro obiettivi”.