Log4j : Microsoft scopre nuovi attacchi che sfruttano la falla

Si ritorna a parlare delle famose vulnerabilità Log4Shell della libreria Log4j che tanto hanno fatto discutere nei mesi addietro. Le falle sono state ormai risolte, su questo non ci piove, ma non tutte le aziende hanno aggiornato i software che le sfruttano. A questo proposito, Microsoft ha individuato degli attacchi messi a segno da alcuni cybercrminali che se ne sono serviti.

Log4j: attacchi contro SysAid

Andando più in dettaglio, il colosso di Redmond ha fatto sapere di aver scovato degli attacchi eseguiti da alcuni criminali informatici iraniani appartenenti al gruppo Mercury contro il tool di help desk SysAid, per il quale è stata rilasciata una patch per Log4j a gennaio, ma che alcune aziende continuano a usare senza aver effettuato l’update.

Mercury ha sfruttato a fine luglio due vulnerabilità di Log4j come vettore di accesso iniziale alle istanze di SysAid Server. I cybercriminali hanno installato web shell e avviato la fase di “discovery” della rete. Dopo aver aggiunto un nuovo utente e elevato i suoi privilegi ad amministratore hanno effettuato il dumping delle credenziali con Mimikatz.

L’attacco è continuato con l’accesso agli altri computer collegati alla rete locale, da cui sono stati rubati altri dati sensibili, tra cui le credenziali di SQL Server e controller di dominio.

Il suggerimento di Microsoft per evitare "grane" è ovviamente quello di aggiornare quanto prima SysAid, oltre che di bloccare il traffico in arrivo dagli indirizzi IP specificati e attivare l’autenticazione in due fattori.

Inoltre, per evitare di andare incontro a problemi di sicurezza informatica è sempre bene equipaggiare il proprio computer con un buon sistema antivirus, come nel caso dell’ottimo Norton 360 Premium.