Microsoft, nuovo attacco hacker colpisce SolarWinds: sfruttata falla 0-Day

L’offensiva ai danni di Orion SolarWinds vista a gennaio 2021 e che ha preso di mira anche Homeland Security e dipendenti del governo statunitense ora ha un seguito: Microsoft ha segnalato un nuovo attacco hacker ai danni della medesima piattaforma, avvenuto sfruttando un exploit 0-day sul software Serv-U.

L’annuncio è avvenuto tramite il blog ufficiale di Microsoft, dove l’azienda ha affermato quanto segue: “Microsoft ha rilevato un exploit di esecuzione di codice remoto 0-day utilizzato per attaccare il software FTP SolarWinds Serv-U in attacchi limitati e mirati. Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna con grande fiducia a DEV-0322, un gruppo che opera fuori dalla Cina, sulla base di vittimologia, tattiche e procedure osservate”.

Scendendo poi nel dettaglio, la vulnerabilità sfruttata ha il codice identificativo CVE-2021-35211 e ha già ricevuto una patch in data 9 luglio 2021 dalla stessa SolarWinds, la quale raccomanda di applicare tale hotfix il più rapidamente possibile. Ma come funzionava questa falla, esattamente? Se il protocollo Secure Shell (SSH) di Serv-U era esposto a Internet, allora gli aggressori potevano eseguire da remoto i codici desiderati con privilegi, riuscendo così a eseguire azioni come installare ed eseguire payload dannosi o visualizzare e modificare i dati sensibili.

Quali sono le versioni contenenti tale falla? Secondo SolarWinds si tratta delle versioni del software rilasciate dal 5 maggio 2021 in poi. Di conseguenza, agli utenti interessati viene caldamente consigliato di aggiornare il programma il prima possibile.

Microsoft, intanto, si è mossa in ambito cybersicurezza acquisendo RiskIQ, azienda specializzata nel settore.