Come proteggere i vostri clienti da HAFNIUM

ResourcesManaged Threat Response (MTR)Rapid ResponseThreats & Malware
09 Mar 2021 Autore:

Il 2 marzo 2021 è stata rivelata pubblicamente la presenza di vulnerabilità del giorno zero di Microsoft Exchange. Queste vulnerabilità sono attualmente in circolazione e vengono sfruttate attivamente da HAFNIUM, un gruppo di cybercriminali che si ritiene sia di origine governativa. Secondo un avviso emesso dalla CISA:

Microsoft ha rilasciato aggiornamenti di sicurezza straordinari per risolvere le vulnerabilità di Microsoft Exchange Server 2013, 2016 e 2019. Un hacker che agisce da remoto può sfruttare tre vulnerabilità di esecuzione di codice remoto (CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065) per assumere il controllo di un sistema colpito ed è in grado di sfruttare una vulnerabilità (CVE-2021-26855) per ottenere accesso remoto a informazioni di natura sensibile. Queste vulnerabilità sono attualmente in circolazione e vengono sfruttate attivamente.

CISA ha emesso una direttiva di emergenza che sollecita le organizzazioni ad applicare patch agli Exchange Server on-premise e allo stesso tempo a eseguire le dovute scansioni di sicurezza per individuare l’eventuale presenza di hacker nei sitemi.

 

Che cosa devono fare i clienti Sophos?

Il team Sophos MTR ha pubblicato una guida dettagliata a come individuare indicatori di compromissione nella rete di un cliente.

La buona notizia è che i clienti che utilizzano Sophos MTR e le soluzioni Sophos per la protezione della rete e degli endpoint sono già muniti di vari livelli di sicurezza contro gli exploit di queste nuove vulnerabilità.

È stato appena pubblicato un articolo di Sophos News che descrive molte di queste strategie di sicurezza:

  • Le firme AV pertinenti che hanno bloccato HAFNIUM, con consigli su come agire se scatta un rilevamento
  • Le query che possono essere eseguite dai clienti Sophos EDR per identificare potenziali web shell su cui occorre svolgere ulteriori indagini
  • Le firme IPS per i clienti Sophos Firewall

Ai clienti MTR sono già stati inviati diversi avvisi di sicurezza che descrivono il problema e indicano le azioni intraprese da MTR per tutelare i clienti.

 

Sophos Managed Threat Response (MTR) e Rapid Response

Negli ultimi giorni abbiamo ricevuto varie richieste di ulteriori informazioni sui servizi offerti da Sophos per aiutare le organizzazioni a promuovere la propria visibilità. Sophos MTR Advanced è la soluzione ideale per garantire la massima protezione contro attacchi del calibro di HAFNIUM.

I clienti che utilizzano MTR possono contare sulla certezza che MTR era già in azione, per individuare immediatamente qualsiasi traccia delle attività di questi cybercriminali all’interno della rete.

Se un cliente non MTR dovesse notare potenziali indizi di attività pericolose legate a questi attacchi, consigliamo vivamente di contattare subito il team Sophos Rapid Response.

 

Informazioni sull’autore

Sophos is a global leader and innovator of advanced security solutions that defeat cyberattacks, including Managed Detection and Response (MDR) and incident response services and a broad portfolio of endpoint, network, email, and cloud security technologies. As one of the largest pure-play cybersecurity providers, Sophos defends more than 600,000 organizations and more than 100 million users worldwide from active adversaries, ransomware, phishing, malware, and more. Sophos’ services and products connect through the Sophos Central management console and are powered by Sophos X-Ops, the company’s cross-domain threat intelligence unit. Sophos X-Ops intelligence optimizes the entire Sophos Adaptive Cybersecurity Ecosystem, which includes a centralized data lake that leverages a rich set of open APIs available to customers, partners, developers, and other cybersecurity and information technology vendors. Sophos provides cybersecurity-as-a-service to organizations needing fully managed security solutions. Customers can also manage their cybersecurity directly with Sophos’ security operations platform or use a hybrid approach by supplementing their in-house teams with Sophos’ services, including threat hunting and remediation. Sophos sells through reseller partners and managed service providers (MSPs) worldwide. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.