Microsoft Exchange Server ha subito in questo mese di marzo uno degli attacchi hacker più gravi degli ultimi anni. Non ci sono ancora molte informazioni in merito, ma le vittime dei criminali informatici potrebbero essere migliaia da quanto si apprende.

Microsoft ha dichiarato che questo attacco sarebbe stato condotto da alcuni hacker collegati a doppio filo al governo di Pechino. Non è nemmeno escluso oltretutto che si sia concluso. Infatti, vi sarebbero ancora un migliaio di server che non sono riusciti ad installare i software forniti da Microsoft per mettere i server in sicurezza. Microsoft Exchange Server è un software utilizzato in tutto il mondo. Il suo scopo è quello di fornire ad aziende e privati un sistema di gestione e-mail e calendari sicuro ed efficiente.

Quello che si è verificato questo mese, è il secondo attacco hacker di pochi mesi di portata mondiale. 

L’attacco hacker a SolarWinds dello scorso dicembre

Lo scorso dicembre infatti alcuni hacker russi hanno violato la sicurezza di Solarwinds, mettendo a repentaglio la sicurezza di tantissime aziende statunitensi. E anche in questo caso, l’America è stato di nuovo l’obiettivo principale. Microsoft ha spiegato che al momento, i server messi sotto attacco sono stati quelli “on-premises” e non quelli dunque ospitati su cloud. Gli hacker sarebbero riusciti nel loro intento trovando alcune vulnerabilità di Exchange che nel gergo informatico vengono chiamate “zero day”.

Un termine che indica delle falle che permettono ai criminali informatici di entrare molto velocemente  nei server, lasciando agli sviluppatori un tempo ridottissimo per poter contrattaccare e mettere tutto in sicurezza. È probabile inoltre che gli autori di questa attacco, abbiano installato nei server violati una web shell. Si tratta di un programma che consente di tenere costantemente aperto l’accesso al sistema e mantenere il controllo anche nel caso in cui le falle di sicurezza vengano chiuse.

Gli esperti informatici di Microsoft hanno impiegato alcune settimane per trovare delle contromisure adeguate e rilasciare un’apposita patch. 

Microsoft, server infettati in pochissimo tempo dagli hacker

Sembra inoltre che gli hacker abbiano adottato una strategia rivelatasi particolarmente efficace nel condurre l’attacco. Inizialmente infatti, hanno mantenuto un atteggiamento molto prudente, limitandosi nelle prime settimane a violare ed entrare in possesso di pochissime serve Exchange. Poi, verso la fine di febbraio, la strategia è cambiata d’improvviso e gli hacker hanno iniziato a condurre un attacco molto aggressivo, infettando tantissimi server in pochissimo tempo.

A quel punto, Microsoft è stata costretta a correre velocemente ai ripari e rilasciare la patch con diversi giorni di anticipo. E l’ipotesi, è che gli hacker siano venuti a conoscenza del fatto che Microsoft aveva deciso in quei giorni di eliminare le vulnerabilità riscontrate. Una vera e propria fuga di notizie che adesso è diventata oggetto di indagini da parte della magistratura americana.

Il timore infatti è che qualcuno all’interno della multinazionale abbia tenuto un contatto diretto con i criminali informatici, condividendo informazioni sensibili. 

Attacco hacker a Microsoft, diverse aziende italiane coinvolte

Nemmeno le aziende italiane sono riuscite a rimanere fuori da questo attacco hacker.

Le imprese coinvolte del nostro paese sarebbero infatti migliaia, tra cui Tim Business. L’azienda infatti ha subito inviato una comunicazione ai suoi clienti informandoli dell’accesso non autorizzato ai server. 

Leggi anche: Twitter nella morsa degli hacker

A preoccupare particolarmente Microsoft, è il fatto che l’attacco abbia riguardato, come accennato in precedenza, i server “on-premises”. Questi infatti, sono sotto il controllo diretto dell’azienda e oltretutto non permettono di poter installare in automatico una patch valida per tutti i server. L’operazione deve essere infatti condotta singolarmente per ogni singolo server, ed è questo il motivo per cui probabilmente, l’attacco hacker è ancora in corso.