Microsoft, rilasciato tool per scoprire se il proprio server Exchange è stato violato

Dopo aver appreso i primi dettagli sull'ultimo attacco che avrebbe esposto i dati di migliaia di utenti di Exchange e il tempestivo rilascio di una patch da parte dell'azienda stessa, arrivano nuovi interessanti aggiornamenti sulla vicenda.

Sono moltissimi infatti i server Exchange compromessi dal gruppo organizzato di cyberspionaggio Hafnium che, secondo quanto dichiarato dalla stessa Microsoft, potrebbe essere anche collegato a strutture governative cinesi. In seguito all'attacco iniziale, il gruppo ha poi installato una shell su server americani, per permettere un maggiore e più duraturo controllo della situazione.

Oltre ad aver suggerito l'aggiornamento con le nuove patch di sicurezza però, Microsoft ha anche rilasciato un tool gratuito in grado di esaminare diversi indicatori di compromissione dei server Exchange, in modo da stabilire se è avvenuto un attacco o no.

La società Volexity, che avrebbe scoperto per prima le violazioni, nella persona del presidente Steven Adair, ha dichiarato che "finora abbiamo lavorato su dozzine di casi in cui le web shell sono state inserite nel sistema delle vittime dal 28 febbraio [prima che Microsoft annunciasse le patch], fino a oggi".

Sembra che anche applicando le correzioni sussiste la possibilità che la web shell possa permanere nei server ma, come affermato da un portavoce di Microsoft, "la migliore protezione è applicare gli aggiornamenti il ​​prima possibile a tutti i sistemi interessati".

Tutto questo avviene mentre nel mondo ancora aleggia il timore per le conseguenze dell'enorme attacco perpetrato sfruttando le vulnerabilità del software Orion SolarWinds.