Attacco ai server Microsoft Exchange: l’Italia è il quinto paese più colpito nel mondo
Quando il mondo ha saputo delle quattro vulnerabilità zero-day dei server Microsoft Exchange e degli attacchi che le hanno sfruttate, in molti si sono chiesti quale portata avrebbero avuto. Quante organizzazioni sono ancora vulnerabili? Quanto è probabile che gli aggressori ne approfittino? Quanto velocemente le aziende stanno rispondendo alle notizie e patchando i server Microsoft Exchange?
Expanse, azienda acquisita di recente da Palo Alto Networks, che fornisce una piattaforma di gestione della superficie di attacco, ha utilizzato la telemetria per rispondere a queste domande.
Expanse raccoglie continuamente informazioni su tutti i dispositivi collegati a Internet, e ha utilizzato la propria piattaforma per rilevare il volume totale di server Microsoft Exchange accessibili pubblicamente, e il sottoinsieme di server vulnerabili. Un confronto dei dati raccolti a tre giorni di distanza – l’8 e l’11 marzo – ha permesso di scoprire non solo quanti server Microsoft Exchange fossero vulnerabili, ma anche di ricavare alcuni dati sul ritmo con cui le organizzazioni hanno applicato le patch.
I risultati di Expanse mostrano che il tasso di patch è fulmineo: 36% in soli tre giorni. Dalle analisi di FireEye, sappiamo che in passato il tempo medio per la patch era di nove giorni. Tuttavia, applicare le patch non significa essere al sicuro, gli hacker hanno lanciato diverse campagne zero-day verso un numero molto elevato di server prima che venisse rilasciata una patch.
È importante osservare la superficie di attacco dalla prospettiva dell’attaccante. Le statistiche rappresentano tutti i server non patchati pubblicamente, ma questo non significa che i clienti ne siano a conoscenza. Acquisizioni, filiali estere e IT dimenticati spesso si traducono in imprese che perdono risorse in sospeso, compresi i server di posta elettronica. Con così tanti vettori di attacco e risorse limitate per difenderli, è fondamentale che le organizzazioni capiscano dove sono i punti di ingresso critici e come dare priorità alla riduzione della superficie di attacco in modo intelligente e basato sui dati.