Indice dei Contenuti
“Hello Darkness My Old Friend” (HD MOF) è un errore di sicurezza che appare in vecchie versioni di Microsoft Exchange quando si tenta di accedere ad alcuni servizi sensibili come Outlook Web Access (OWA) o Gestione del Centro di Amministrazione (EAC) oppure trovando una mail salvata nelle bozze con questo oggetto. Questo errore è causato da una vulnerabilità nota come ProxyLogon ed è stata oggetto di exploit da parte di hacker e criminali informatici in tutto il mondo.
Che cos’è ProxyLogon?
ProxyLogon è una vulnerabilità informatica scoperta a inizio del 2021 che colpisce vecchie versioni di Microsoft Exchange Server. La vulnerabilità è stata identificata come problematica di sicurezza critica e permette ad un attaccante di accedere legalmente alla posta di un utente compromesso, modificare la posta in arrivo o installare malware in un sistema compromesso.
Essenzialmente, l’attacco sfrutta una serie di vulnerabilità sulla componente di Exchange chiamata Microsoft Exchange Control Panel (ECP) per impersonare un utente con privilegi elevati come l’amministratore della rete e guadagnare accesso completo ai server di posta compromessi.
La vulnerabilità ProxyLogon è stata originariamente identificata e segnalata da un gruppo di esperti in sicurezza informatica nel mese di gennaio 2021. Alla scoperta, Microsoft ha rilasciato rapidamente una serie di patch di sicurezza per mitigare il problema.
Per proteggere gli utenti dall’attacco a questa vulnerabilità, è fortemente consigliato agli amministratori di Exchange di applicare rapidamente tutte le patch e le correzioni di sicurezza rilasciate da Microsoft e di monitorare costantemente i propri server per individuare eventuali attività sospette o attacchi conosciuti.
Chi ha scoperto la vulnerabilità ProxyLogon?
La vulnerabilità ProxyLogon è stata scoperta e segnalata da un gruppo di esperti di sicurezza di Microsoft chiamato Microsoft Threat Intelligence Center. Il gruppo ha rilevato l’exploit della vulnerabilità ProxyLogon nel mese di gennaio 2021 mentre eseguiva attività di monitoraggio sulla sicurezza dei clienti Microsoft Exchange.
Dopo aver scoperto l’attacco, i ricercatori di Microsoft hanno informato immediatamente il team di sicurezza del prodotto di Exchange, che ha iniziato a lavorare su una soluzione per risolvere il problema. Successivamente, il gruppo di esperti di sicurezza e gli sviluppatori di Exchange hanno collaborato per testare e sviluppare una patch per la vulnerabilità, che è stata rilasciata poco dopo.
Il rilascio delle patch ha spinto avanti Microsoft per sensibilizzare gli utenti dei server Exchange affetti da questa vulnerabilità a installare le correzioni di sicurezza. Inoltre, Microsoft ha raccomandato che gli utenti che hanno subito un attacco ProxyLogon attuino anche una serie di pratiche protettive, come la scansione antivirus del sistema compromesso e la modifica delle password degli utenti.
Come stare al sicuro?
L’errore HD MOF è presente nelle versioni di Exchange 2013, Exchange 2016 e Exchange 2019 e può essere risolto solo aggiornando il software a una versione più recente e più sicura. Tuttavia, ci sono alcune azioni che possono essere intraprese per prevenire l’infezione e risolvere il problema, come quelli elencati di seguito.
Aggiornare Microsoft Exchange
La vulnerabilità ProxyLogon è presente solo in vecchie versioni di Microsoft Exchange. Pertanto, il primo passo per risolvere il problema di HD MOF è aggiornare il software a una versione più recente e sicura. .
Disabilitare l’accesso esterno a OWA e EAC
Come misura temporanea per prevenire potenziali attacchi, è possibile disabilitare l’accesso esterno a Outlook Web Access (OWA) e Gestione del Centro di Amministrazione (EAC). Questo eviterà a utenti non autorizzati di accedere alle funzionalità di Exchange potenzialmente vulnerabili.
Verificare e monitorare i registri di sistema
Gli hacker infettano i sistemi Exchange attraverso la vulnerabilità ProxyLogon corrompendo i registri di sistema. Controllare regolarmente i registri di sistema di Exchange per verificare eventuali modifiche sospette o non autorizzate e monitorare questi registri per verificare eventuali attività anomale.
Applicare correzioni di sicurezza cumulate per Exchange
Microsoft ha rilasciato correzioni di sicurezza cumulate che correggono le vulnerabilità di Exchange, inclusa ProxyLogon. Gli amministratori di Exchange devono verificare e applicare queste correzioni regolarmente per mantenere Exchange sicuro, installando le ultime CU rilasciate da Microsoft (Qui la lista completa).
Una patch che mitiga la situazione è scaricabile da qui. In aggiunta consigliamo di eseguire delle scansioni complete al server Exchange per escludere eventuali infezioni virali e per accertarsi che sia pulito.
Conclusioni
HD MOF in Microsoft Exchange è un errore di sicurezza che può avere ripercussioni negative sui sistemi Exchange. Con la vulnerabilità ProxyLogon, il problema assume proporzioni di una minaccia alla sicurezza degli utenti e delle aziende. Tuttavia, è possibile risolvere il problema aggiornando il software a una versione sicura, disabilitando temporaneamente l’accesso esterno a OWA ed EAC, monitorando i registri di sistema e applicando regolarmente le correzioni di sicurezza cumulate. In generale, è importante mantenere il sistema Exchange aggiornato e monitorare costantemente eventuali attività sospette che potrebbero indicare una violazione della sicurezza.
EOMT.ps1 – Exchange Server Support Scripts (microsoft.github.io)