Improvvisare la gestione delle vulnerabilità

Indice

Ultimi post

Post cover

Automating Threat Intelligence series
4 Maggio 2025

Post cover

Palo Alto Networks automation serie
26 Febbraio 2025

Post cover

Fondamentali sull'automazione di rete
25 Febbraio 2025

Post cover

Scegli il tuo percorso di apprendimento: sblocca la potenza dell'automazione
22 Febbraio 2025

Post cover

OT/ICS serie
18 Febbraio 2025

Categorie

Category cover

Automazione
28 posts

Category cover

CISO
15 posts

Category cover

Corsi
9 posts

Category cover

Sicurezza Personale
9 posts

Category cover

Infrastruttura
5 posts

Category cover

Sicurezza
5 posts

Category cover

Libri
3 posts

Category cover

Vita
1 posts

Category cover

OT/ICS
1 posts

Category cover

UNetLab
1 posts

Category cover

Write-up
1 posts

Improvvisare la gestione delle vulnerabilità

Andrea Dainese
10 Marzo 2021
CISO
Post cover

Lo scorso 3 Marzo il CSIRT (Computer Security Incident Response Team) italiano ha emanato un bollettino con il quale notificava di aver rilevato lo sfruttamento di vulnerabilità gravi di Microsoft Exchange.

Questo è il momento nel quale le aziende dovrebbero attivarsi per fare immediatamente un risk assessment, relativa business impact analysis, stendendo un piano di azione.

Valutare la vulnerabilità

La valutazione è tutto sommato facile: 4 vulnerabilità gravi (con CVSSv3 fino a 9.1) di Microsoft Exchange che, se concatenate, possono portare alla compromissione del server. In particolare l’attacco può portare a:

  • l’accesso alle email degli utenti con relativa esfiltrazione del dato;
  • l’installazione di malware sul sistema che potrà essere usato come ponte per ulteriori attacchi.

L’impatto è quindi da considerarsi “alto”.

Il CSIRT italiano ci informa che sono già in atto attacchi per sfruttare quelle vulnerabilità. Possiamo quindi considerare “alta” la probabilità di attacco su server Microsoft Exchange esposti su Internet senza protezioni aggiuntive.

La valutazione del rischio è tale per cui molte aziende si dovrebbero trovare nella condizione di aggiornare con urgenza i propri sistemi.

Problema risolto?

Lo scopo di questo articolo vuole soffermarsi a riflettere sulla zona grigia tra la scoperta della vulnerabilità e il momento in cui i sistemi sono aggiornati.

Pur installando in tempi brevissimi l’aggiornamento per la vulnerabilità di Microsoft Exchange, possiamo affermare di averlo fatto in tempo?

Threat Hunting

La gestione delle vulnerabilità dovrebbe includere la gestione di quest’area grigia: analizzare i sistemi per capire se sono già stati compromessi e in che modo, permette di ridurre la probabilità di sorprese nel futuro.

Nel caso specifico abbiamo osservato che nei giorni 5-7 Marzo scorsi, la gran parte dei server Microsoft Exchange sono già stati attaccati mediante un malware sviluppato per controllarli da remoto.

Una parte di questi server ha ricevuto la seconda fase dell’attacco nei due giorni successivi.

Una minaccia silente

Vista la veloce evoluzione dell’attacco, possiamo immaginare cosa succederà: diffusione dell’attacco all’interno della rete, esfiltrazione dei dati, distruzione degli archivi mediante ransomware e minaccia di pubblicazione dei dati.

Conclusioni

L’articolo non voleva descrivere la procedura di vulnerability management, ma riflettere sul fatto di quanto possa essere importante una attività di threat hunting inserita nel processo stesso.

La gestione delle patch non è un “install and forget”, e non può nemmeno essere relegata alle “attività trimestrali”. In casi come quello descritto occorre agire velocemente e consapevolmente del contesto in cui oggi viviamo.