MicrosoftCloud Security

Trafugati i dati di 40 milioni di elettori nel Regno Unito. All'origine dell'intrusione una falla zero-day in Exchange

di pubblicata il , alle 15:21 nel canale Security Trafugati i dati di 40 milioni di elettori nel Regno Unito. All'origine dell'intrusione una falla zero-day in Exchange

La Commissione Elettorale ha tempestivamente corretto la vulnerabilità, ma non è stato sufficiente: Microsoft, infatti, ha aspettato per circa 6 settimane dalla scoperta del problema prima di distribuire una patch

 

Un attacco informatico contro la Commissione Elettorale del Regno Unito ha consentito ai delinquenti di sottrarre i dati elettorali di qualcosa come 40 milioni di residenti in UK. A quanto dichiara la commissione, si tratta di informazioni personali (nomi, indirizzi fisici ed e-mail) di chi si è registrato al voto nel Regno Unito nel periodo compreso fra il 2014 e il 2022.

All'origine dell'incidente sembra esserci una vulnerabilità di Exchange non corretta tempestivamente

hacker

Un bug non corretto per più di un mese

Sebbene la Commissione non abbia divulgato molti dettagli tecnici sull'intrusione, secondo alcune fonti, come il ricercatore Kevin Beaumont, gli attaccanti potrebbero aver sfruttato una vulnerabilità zero-day di Exchange: come indicato dalla Commissione stessa, infatti, si stima che i criminali avessero accesso ai sistemi già dall'ottobre 2022. 

Il solito esempio di patch correttive non applicate in tempo? Non proprio. La vulnerabilità (CVE-2022-41080 and CVE-2022-41082) è stata scoperta dai ricercatori il 30 settembre 2020, quando ormai già da un mese stava venendo sfruttata da alcuni criminali. Microsoft, in questa occasione, si è limitata a dare indicazioni su come mitigare il problema, ma solo l'8 novembre, dopo sei settimane, è stata distribuita una patch correttiva

Sempre secondo Beaumont, tra l'altro, le indicazioni inizialmente fornite da Microsoft non erano sufficienti a evitare intrusioni.

Sintetizzando, i suggerimenti indicati dall'azienda di Redmond per mitigare il problema erano inefficaci, e la multinazionale si è presa svariate settimane prima di correggere un problema tanto grave. 

La Commissione Elettorale, sottolinea Beaumont, non ha in questo caso alcuna responsabilità, dato che ha seguito tempestivamente le indicazioni - purtroppo errate - di Microsoft. C'è un dettaglio che però fa riflettere: come specifica la Commissione stessa nel suo comunicato, i sospetti sono nati a ottobre 2022 e le successive analisi hanno evidenziato come gli attaccanti avessero avuto modo di entrare nei sistemi informatici della vittima già nell'agosto 2021. In pratica, la Commissione Elettorale del Regno Unito ha atteso circa 9 mesi prima di rendere pubblico l'incidente. Un lasso di tempo decisamente troppo lungo.

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
AlPaBo14 Agosto 2023, 18:03 #1
Vedo che gli inglesi non sono migliori di noi a gestire sistemi informativi.
Com'è possibile che i dati personali di 40M persone fossero conservati in un server Exchange? È un tipico problema di database, non di posta elettronica. Oppure c'è sotto qualcosa che non capisco?

Fa il paio della notizia di qualche mese fa di quando si sono accorti che acquisivano male i dati della sanità perché avevano avuto la geniale idea di farseli spedire nel formato XLM che si limita a 65536 righe.

Errori di questo tipo sono possibili in piccole aziende prive di un centro IT, ma a livello dell'amministrazione centrale? Nelle grandi organizzazioni pubbliche italiane che conosco questo tipo di errori veniva fatto vent'anni fa.
giovanni6914 Agosto 2023, 18:10 #2
La ragione è semplice: quando succedono questi incidenti non si finisce sul penale. E non ci sono pene esemplari.
E il responsabile 'IT che verrà accusato eventualmente di incompetenza - ammesso che lo sia - finirà comunque a prestare servizio... presso altro reparto della PA. Posto sicuro a vita. E chi è sopra di lui e l'ha nominato? Nessuna conseguenza.

Ci dovrebbero essere degli stress test nei confronti delle infrastrutture nazionali altro che ritardi nell'applicazione delle patch zero-day.
Sandro kensan14 Agosto 2023, 21:47 #3
Quindi i dati centralizzati sono sempre un problema per il cittadino che prima o poi se li ritrova in formato zip presso qualche torrent.
destroyer8515 Agosto 2023, 10:41 #4
Ma avete letto e compreso l'articolo?
È Microsoft che si è presa sei settimane per correggere la vulnerabilità, cosa c'entrano i responsabili IT?
Exchange è stato solo il punto di ingresso come fate a sapere da dove hanno preso i dati? Visto che la vulnerabilità consente un privilege escalation potrebbero aver avuto i permessi per accedere a MSSQL.
boboviz15 Agosto 2023, 20:40 #5
Exchange ha i suoi buchi, lo sappiamo.
Ma questi server, per essere "bucati", dovevano essere esposti su internet (di solito OWA).
Che sistemi di attenuazione degli attacchi sono stati usati? Server in dmz? Honepot?
Oppure erano server Exchange Azure?
AarnMunro15 Agosto 2023, 21:30 #6
Da agosto 21 ad ottobre 22 ci sono 14 mesi non 9 come scritto
destroyer8516 Agosto 2023, 09:41 #7
È un po' difficile che un server di posta non sia esposto su internet...
Il POC dell'attacco è fatto tramite protocollo http/https

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^