Une faille de Microsoft Exchange exploitée par des pirates

Plusieurs groupes de pirates exploitent activement une vulnérabilité des serveurs Microsoft Exchange, selon les chercheurs. Si elle n’est pas corrigée, la faille permet aux individus authentifiés d’exécuter du code à distance avec des privilèges de niveau système.

La vulnérabilité en question (CVE-2020-0688) se trouve dans le panneau de configuration de Microsoft Exchange, le serveur de messagerie et d’agenda de Microsoft, et a été patchée dans le cadre des mises à jour Patch Tuesday du mois de février. Cependant, des chercheurs ont déclaré que les serveurs non patchés sont exploités par des pirates informatiques.

“Ce que nous avons vu jusqu’à présent, ce sont de multiples groupes chinois qui exploitent ou tentent d’exploiter cette faille de Microsoft Exchange”, a déclaré Steven Adair, fondateur et président de Volexity. “Cependant, je pense qu’il est important de dire que cet exploit est maintenant entre les mains des opérateurs du monde entier et malheureusement certaines entreprises qui n’ont pas encore patché ou n’ont pas patché assez rapidement sont susceptibles d’en payer le prix.”

microsoft exchange

Les attaques ont commencé à la fin du mois de février et ciblaient “de nombreuses organisations affectées”, ont indiqué des chercheurs. Ils ont observé que les pirates exploitaient la faille de Microsoft Exchange pour exécuter des commandes système pour effectuer des reconnaissances, déployer des portes dérobées Webshell et exécuter des frameworks en mémoire après l’exploitation.

La faille de Microsoft Exchange

Après que Microsoft ait corrigé la faille en février, les chercheurs ont mis à jour la Zero Day Initiative (ZDI), signalé la vulnérabilité, publié de plus amples détails sur la faille et comment elle pourrait être exploitée. Le 4 mars, Rapid7 a publié un module qui incorporait l’exploit dans le framework de test de pénétration de Metasploit.

La vulnérabilité existe dans le panneau de configuration de Microsoft Exchange (ECP), une interface de gestion Web pour les administrateurs, introduite dans Microsoft Exchange Server 2010. Plus précisément, au lieu d’avoir des clés cryptographiques qui sont générées aléatoirement, toutes les installations de la configuration d’ECP ont les mêmes valeurs de clé cryptographique. Ces clés cryptographiques sont utilisées pour assurer la sécurité de ViewState (données côté-serveur que les applications Web ASP.NET stockent au format sérialisé sur le client).

Selon ZDI, un pirate pourrait exploiter un serveur Microsoft Exchange vulnérable s’il n’est pas patché, si l’interface ECP est accessible au pirate et si il possède des informations d’identification lui permettant d’accéder à l’ECP. Après avoir accédé à l’ECP en utilisant des informations d’identification compromises, les hackers peuvent tirer parti des clés cryptographiques fixes en incitant le serveur à dé-sérialiser des données ViewState malveillantes, puis en leur permettant de prendre le contrôle du serveur Microsoft Exchange.

Force Brute

Les chercheurs ont déclaré que même si un hacker doit s’authentifier pour exploiter la faille de sécurité de Microsoft Exchange, les permissions liées à cette authentification n’ont pas besoin d’être élevées ou même d’avoir un accès ECP.

microsoft exchange

Après que les détails techniques de la faille aient été révélés, les chercheurs ont déclaré avoir observé que plusieurs groupes de cybercriminels tentaient de forcer l’authentification en attaquant les services Web Exchange (EWS), ce qui, selon eux, était probablement une tentative pour exploiter cette vulnérabilité.

“Bien que les tentatives d’attaque de force brute pour découvrir les informations d’identification soient courantes, la fréquence et l’intensité des attaques contre certaines organisations ont considérablement augmenté suite à la divulgation de la vulnérabilité”, ont déclaré les chercheurs.

Les chercheurs ont déclaré qu’ils pensaient que ces efforts provenaient de «groupes APT connus» en raison de l’association de leurs adresses IP avec d’autres attaques précédentes. De plus, dans certains cas, les informations d’identification utilisées étaient liées à de précédentes attaques menées par les groupes APT.

Aller de l’avant

Adair a déclaré qu’il soupçonnait que des centaines d’organisations pourraient être touchées par ces piratages.

“Les attaques réussies que nous avons observées ne concernent qu’une poignée de serveurs et d’organisations différents”, a déclaré Adair.

Les chercheurs encouragent les organisations à s’assurer qu’elle ont installé les mises à jour de sécurité de Microsoft, ainsi que de placer des restrictions de liste de contrôle d’accès (ACL) sur le répertoire virtuel ECP ou via toute fonction de pare-feu d’application Web. Les entreprises devraient également continuer à faire expirer les mots de passe et obliger les utilisateurs à mettre à jour les mots de passe régulièrement.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x