Hacking: oltre 60.000 i clienti di Microsoft Exchange compromessi dall’attacco di Hafnium

Enrico Gargiulo

Solo venerdì i giornalisti di cybersecurity Brian Krebs e Andy Greenberg riportavano 30.000 organizzazioni compromesse da un attacco senza precedenti a Microsoft Exchange Server, partito da un gruppo di hacker cinesi conosciuto come Hafnium. In appena quattro giorni, le analisi hanno rivelato un numero di vittime grande almeno il doppio: parliamo di 60.000 società clienti di questo servizio.

Mesi fa le prime avvisaglie: Microsoft ha dichiarato già a gennaio di essere al corrente di star subendo attacchi digitali che sfruttavano falle di sistema nei server, ma non c’è stata una risposta netta e forte. Solo dopo due mesi ha distribuito una patch, senza spiegare né l’entità del danno, né chi l’avesse subito: originariamente pareva che la società volesse addirittura attendere la cadenza di una “Patch del martedì“, forse per far passare la cosa più in sordina, salvo poi anticiparne l’uscita di una settimana.

MIT Technology Review spiega che Hafnium non sarebbe l’unica minaccia: a quanto pare in questo momento ci sono almeno 5 gruppi di hacker che “bucano” gli Exchange Server sfruttandone le vulnerabilità. La scala del danno è così grande che persino il governo americano si è attivato e pronunciato in merito: il segretario Jen Psaki l’ha definita “Una minaccia attiva“, al cui proposito si sono esposti anche Jake Sullivan, consigliere sulla sicurezza nazionale della Casa Bianca e Christopher Krebs, ex direttore della Cybersecurity and Infrastructure Security Agency.

Chiunque abbia installato in locale Microsoft Exchange Server (2010, 2013, 2016, 2019) è potenzialmente a rischio e conviene che provveda a fare controllo e a patch, ma abbiamo motivo di credere che ciò che vediamo sia solo la punta dell’iceberg: il malware installato dagli hacker darebbe loro modo di reinserirsi ancora nei server e non ci sono notizie certe su quanto sia stato trafugato.

Microsoft nel mentre continua ad tacere circa il tempismo delle patch e le vulnerabilità, rimandando a dichiarazioni fatte in precedenza nelle quali comunica di essere attivamente impegnata nell’assistenza ai propri clienti colpiti. La protezione migliore parrebbe essere applicare gli ultimi aggiornamenti a tutti i sistemi colpiti, mentre l’azienda continuerà a seguire i propri clienti e, al contempo, a portare avanti le indagini

Via: The Verge