Avviso di minaccia alla sicurezza informatica: attacco globale a Microsoft Exchange

Argomenti:

27 giu 2025

Una recente campagna informatica ha compromesso oltre 70 server Microsoft Exchange in 26 paesi iniettando keylogger basati su JavaScript nelle pagine di login di Outlook Web Access (OWA). Esamina i dettagli di questo avviso di minaccia per la sicurezza informatica per proteggerti da queste vulnerabilità.

Qual è la minaccia?

Questa campagna, attiva almeno dal 2021, prende di mira i server Microsoft Exchange con OWA abilitato. Gli hacker iniettano keylogger dannosi basati su JavaScript nelle pagine di login di OWA per catturare nomi utente e password mentre gli utenti effettuano l'accesso. Le credenziali rubate vengono memorizzate localmente sul server o esfiltrate utilizzando tunnel DNS o bot di Telegram. La campagna prende di mira principalmente agenzie governative, aziende IT e settori industriali sfruttando vulnerabilità di Exchange non patchate. La sua natura furtiva e il basso tasso di rilevamento rendono critici aggiornamenti immediati, audit degli script e monitoraggio del traffico per la difesa.

Perché è degno di nota?

Il codice JavaScript dannoso è progettato per leggere ed elaborare dati dai moduli di autenticazione, inviando successivamente queste informazioni tramite una richiesta XHR a una pagina designata su un server Exchange compromesso. Il codice sorgente della pagina di destinazione include una funzione gestore che cattura la richiesta in arrivo e scrive i dati su un file sul server.

La catena di attacco inizia sfruttando vulnerabilità note in Microsoft Exchange Server, come ProxyShell, per iniettare codice keylogger nella pagina di login. L'identità degli attori della minaccia responsabili rimane sconosciuta al momento. Alcune delle vulnerabilità sfruttate sono elencate di seguito:

CVE-2014-4078 – Vulnerabilità di bypass delle funzionalità di sicurezza di IIS
CVE-2020-0796 – Vulnerabilità di esecuzione di codice remoto del client/server Windows SMBv3.
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065 – Vulnerabilità di esecuzione di codice remoto di Microsoft Exchange Server (ProxyLogon).
CVE-2021-31206 – Vulnerabilità di esecuzione di codice in remoto di Microsoft Exchange Server.
CVE-2021-31207, CVE-2021-34473 e CVE-2021-34523 - Vulnerabilità di bypass delle funzionalità di sicurezza di Microsoft Exchange Server (ProxyShell).

Qual è l'esposizione o il rischio?

Questo file, che contiene i dati rubati, può essere accesso da una rete esterna. Sono state scoperte anche varianti dotate di capacità di keylogging locale, che raccolgono i cookie degli utenti, le stringhe User-Agent e i timestamp. Uno dei vantaggi significativi di questo metodo è il rischio minimo di rilevamento. Non comporta traffico in uscita nella trasmissione delle informazioni.

Finora sono stati identificati almeno 22 server compromessi all'interno delle agenzie governative. Altri settori colpiti includono IT, logistica e industria. I paesi più presi di mira sono Vietnam, Russia, Taiwan, Cina, Pakistan, Libano, Australia, Zambia, Paesi Bassi e Turchia.

Quali sono le raccomandazioni?

Barracuda consiglia le seguenti azioni per mantenere sicuro il tuo ambiente contro questa minaccia:

Applica le ultime patch di sicurezza a tutti i server Microsoft Exchange. Controlla regolarmente la presenza di aggiornamenti e applicali tempestivamente per mitigare le vulnerabilità note.
Limita l'accesso ai server Exchange solo a coloro che ne hanno assolutamente bisogno. Utilizza i controlli di accesso basati sui ruoli (RBAC) per applicare il principio del privilegio minimo.
Adotta un rilevamento e una risposta alle minacce esteso, come Barracuda Managed XDR Endpoint Security, per monitorare gli endpoint alla ricerca di attività sospette, incluso il rilevamento e il blocco di script dannosi, l'installazione di software non autorizzato come keylogger, e per rilevare tentativi di accesso o modelli di accesso insoliti che potrebbero indicare un account o un server compromesso.
Imponi l'autenticazione a più fattori (MFA) per tutti gli utenti che accedono al server Exchange per aggiungere un ulteriore livello di sicurezza oltre alle sole password.

Come può Barracuda proteggerti da questa minaccia?

Di recente, Barracuda ha introdotto il suo servizio di Managed Vulnerability Security, una soluzione completamente gestita che rileva e assegna priorità in modo proattivo alle vulnerabilità su server, endpoint, dispositivi di rete e infrastruttura cloud. Alla luce di minacce come la campagna del keylogger JavaScript di OWA, questo servizio aiuta a identificare server Exchange non aggiornati e configurazioni errate prima che gli attaccanti possano sfruttarli. Quando combinato con le capacità di rilevamento delle minacce in tempo reale e di risposta agli incidenti di Barracuda Managed XDR, consente una strategia di difesa in profondità, colmando le lacune di sicurezza e identificando anche eventi di accesso sospetti o movimenti laterali. Questo approccio unificato—scansione delle vulnerabilità abbinata al motore di rilevamento di XDR—aiuta le organizzazioni a stare al passo con le minacce avanzate, ridurre la complessità dei fornitori e rafforzare la loro postura complessiva di sicurezza.

Riferimenti

Per ulteriori informazioni dettagliate, visitare i seguenti link:

Se hai domande su questo Cybersecurity Threat Advisory, non esitare a metterti in contatto con il Security Operations Center di Barracuda Managed XDR.

Nota: Questo post sul blog è stato originariamente pubblicato su SmarterMSP.com.

Mandeep Gujral

Mandeep è un Analista di Cybersecurity presso Barracuda MSP. È un'esperta di sicurezza che lavora nel nostro Blue Team all'interno del nostro Centro Operativo di Sicurezza. Mandeep supporta la consegna del nostro servizio XDR ed è altamente qualificata nell'analisi degli eventi di sicurezza per rilevare minacce informatiche, contribuendo a mantenere protetti i nostri partner e i loro clienti.