Microsoft Exchange: les serveurs non-patchés sont exploités par des hackers étatiques

0

Plusieurs groupes de pirates étatiques exploitent activement les failles critiques d’Exchange que Microsoft a corrigé via des mises à jour de sécurité.

Microsoft a adressé 4 failles zero-day (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065) exploités activement et trois autres vulnérabilités (CVE-2021-27078, CVE-2021-26854 et CVE-2021-26412).

Au moins 4 groupes de piratage exploitent des failles d’Exchange

Les groupes avancés de menaces persistantes (APT) utilisent actuellement « au moins » la vulnérabilité CVE-2021-26855 de Microsoft Exchange Server dans le cadre d’attaques en cours pour établir une exécution de code à distance sans authentification sur les serveurs d’Exchange non patchés.

Trois d’entre eux, l’APT27 soutenu par la Chine, Bronze Butler (alias Tick) et Calypso, ont été identifiés par la société slovaque de sécurité ESET qui dit avoir détecté plusieurs autres groupes parrainés par des États qu’elle n’a pas pu identifié.

« La télémétrie d’ESET montre que (au moins) CVE-2021-26855 est activement exploité dans la nature par plusieurs groupes de cyber-espionnage », a déclaré ESET. « Parmi eux, nous avons identifié LuckyMouse, Tick, Calypso et quelques autres clusters non classifiés. »

« La plupart des cibles sont situées aux États-Unis, mais nous avons vu des attaques contre des serveurs en Europe, en Asie et au Moyen-Orient. Les secteurs ciblés incluent les gouvernements, les cabinets d’avocats, les entreprises privées et les établissements médicaux.

exchange

Microsoft a identifié un quatrième groupe chinois nommé Hafnium qui attaquait les organisations américaines pour dérober des données.

Bien que l’identité des cibles de Hafnium n’ait pas encore été divulguée, Microsoft a partagé une liste des secteurs industriels précédemment attaqués.

« Historiquement, Hafnium cible principalement des entités aux États-Unis dans le but d’exfiltrer des informations provenant d’un certain nombre de secteurs industriels, y compris des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs du secteur de la défense, des groupes de réflexion sur les politiques et des ONG », a déclaré Tom Burt, vice-président de Microsoft.

Des web shell utilisés depuis le mois de Janvier

La société de cybersécurité Huntress a trouvé des Web shell déployés sur des serveurs Exchange compromis lors de la réponse de ces attaques en cours, des Web shell qui fourniraient aux pirates informatiques un accès après que les serveurs aient été corrigés.

« En se basant sur notre analyse de 209 serveurs exploités, le premier signe de compromis que nous avons observé était le 27 février à 16 h 43 UTC, et le shell web le plus récemment déployé a été créé il y a deux heures », a déclaré Huntress.

« Jusqu’à présent, nous n’avons pas vu de charges utiles significativement différentes déployées, mais nous nous attendons à ce que cela se produise dans peu de temps (re-soulignant que les 30 jours d’attentes pour le déploiement de patch va faire plus de mal que de bien dans cette situation).

« Il est également remarquable que plusieurs hôtes aient reçu entre 2 et 4 shells web (suggérant un déploiement automatisé sans mutex ou plusieurs acteurs non coordonnés). »

L’un des web shell déployés au cours de ces attaques est China Chopper (un échantillon est disponible ici).

Une fois déployé, il permet aux attaquants d’exécuter le code Microsoft .NET à l’aide de commandes HTTP POST pour envoyer et télécharger des fichiers, exécuter des programmes, énumérer le contenu de l’annuaire et accéder à Active Directory.

La société de réponse aux incidets, Volexity, a déclaré que l’exploitation active de ces failles zero-day de Microsoft Exchange a commencé « dès le 6 janvier 2021 ».

“Pour l’instant, nous ne pouvons pas dire avec certitude quels sont les objectifs de l’acteur de la menace. L’utilisation d’un shell web/porte dérobée indique qu’ils continueront à utiliser cet accès pour les commandes et le contrôle, mais nous n’avons pas encore découvert ce qu’ils pourraient faire avec ensuite.” a déclaré Huntress.

” Cela pourrait exécuter toute la gamme des données d’exfiltrées, déployé un ransomware, être utilisé dans un botnet, miner de la crypto-monnaie, etc. Les chercheurs ont mis en évidence l’utilisation de ProcDump pour capturer les informations d’identification/hashes stockées dans la mémoire du processus LSASS et potentiellement les utiliser pour obtenir un accès accru.” a ajouté Huntress.

Les administrateurs recommandent de patcher le plus tôt possible

Microsoft recommande aux administrateurs « d’installer ces mises à jour immédiatement » afin de protéger les serveurs Exchange vulnérables sur place contre ces attaques en cours.

Pour détecter si votre serveur Exchange a déjà été exploité, Microsoft fournit des commandes PowerShell et de console pour numériser les journaux d’événements et les serveurs Exchange pour déceler les traces de l’attaque.

Kevin Beaumont, analyste principal de Microsoft Threat Intelligence, a également créé un script Nmap pour scanner les réseaux de serveurs Microsoft Exchange potentiellement vulnérables.

Avant de mettre à jour vos serveurs Exchange, vous devrez vous assurer d’avoir déployé une mise à jour cumulative (CU) et une mise à jour de déploiement (RU) à l’avance.

Vous pouvez trouver plus d’informations sur la façon d’installer les correctifs dans cet article publié par l’équipe de Microsoft Exchange.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.