Microsoft patch des failles zero-day d’Exchange activement exploitées

0

Microsoft a déployé des mises à jour de sécurité qui corrigent quatre vulnérabilités zero-day activement exploitées dans des attaques ciblées pour toutes les versions de Microsoft Exchange prises en charge .

Ces quatre vulnérabilités zero-day sont associées pour accéder aux serveurs Microsoft Exchange, voler des e-mails et planter d’autres logiciels malveillants pour un accès accru au réseau.

Pour que l’attaque fonctionne, les attaquants distants auraient besoin d’accéder à un serveur Microsoft Exchange sur place sur le port 443. Si l’accès est disponible, les pirates informatiques utiliseraient alors les vulnérabilités suivantes pour y accéder à distance:

CVE-2021-26855 est une vulnérabilité de falsification de demande côté serveur (SSRF) dans Exchange qui a permis à l’attaquant d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que serveur Exchange.

CVE-2021-26857 est une vulnérabilité de désérialisation non sécurisée dans le service Unified Messaging. La déséralisation non sécurisée est quand les données non fiables contrôlables par l’utilisateur sont désérisialisées par un programme. L’exploitation de cette vulnérabilité a donné à HAFNIUM la possibilité d’exécuter le code en tant que SYSTEM sur le serveur Exchange. Cela nécessite l’autorisation de l’administrateur ou une autre vulnérabilité à exploiter.

CVE-2021-26858 est une vulnérabilité d’écriture de fichiers arbitraire post-authentification dans Exchange. Si HAFNIUM pouvait s’authentifier avec le serveur Exchange, ils pourraient utiliser cette vulnérabilité pour écrire un fichier sur n’importe quel chemin sur le serveur. Ils pourraient s’authentifier en exploitant la vulnérabilité SSRF (CVE-2021-26855) ou en compromettant les informations d’identification d’un administrateur légitime.

CVE-2021-27065 est une vulnérabilité d’écriture de fichiers arbitraire post-authentification dans Exchange. Si HAFNIUM pouvait s’authentifier avec le serveur Exchange, ils pourraient utiliser cette vulnérabilité pour écrire un fichier sur n’importe quel chemin sur le serveur. Ils pourraient s’authentifier en exploitant la vulnérabilité SSRF (CVE-2021-26855) ou en compromettant les informations d’identification d’un administrateur légitime.

Microsoft a détecté un groupe de piratage parrainé par l’État chinois connu sous le nom HAFNIUM utilisant ces attaques contre des organisations américaines pour dérober des données.

« Historiquement, Hafnium cible principalement des entités aux États-Unis dans le but d’exfiltrer des informations provenant d’un certain nombre de secteurs industriels, y compris des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs dans le secteur de la défense, des groupes de réflexion et des ONG. »

« Alors que Hafnium est basé en Chine, il mène ses opérations principalement à partir de serveurs privés virtuels loués (VPS) aux États-Unis, » a révélé Microsoft dans un article de blog.

Après avoir accédé à un serveur Microsoft Exchange vulnérable, Hafnium installerait un Web shell qui leur permettrait de voler des données, de télécharger des fichiers et d’exécuter presque n’importe quelle commande sur le système compromis.

Hafnium effectuerait un vidage de mémoire du LSASS.exe pour récolter les informations d’identification mises en cache à l’aide de ce shell web.

Ils exportent ensuite des boîtes de réception et des données volées à partir du serveur Exchange et les téléchargent vers des services de partage de fichiers, tels que MEGA, où ils pourraient ensuite les récupérer.

Enfin, Hafnium créerait un shell distant vers leurs serveurs pour accéder à la machine et à son réseau interne.

En raison de la gravité des attaques, Microsoft recommande aux administrateurs « d’installer ces mises à jour immédiatement » pour protéger les serveurs Exchange de ces attaques.

Kevin Beaumont, analyste principal de Microsoft Threat Intelligence, a créé un script Nmap qui peut être utilisé pour scanner un réseau à la recherche de serveurs Microsoft Exchange potentiellement vulnérables.

Pour utiliser le script, téléchargez-le à partir de sa page GitHub et stockez-le dans /usr/share/nmap/scripts, puis utilisez la commande nmap –script http-vuln-exchange.

microsoft-nmap

Une fois que vous avez déterminé quels serveurs Exchange doivent être mis à jour, vous devez vous assurer que vos serveurs ont installé une mise à jour cumulative (CU) et une mise à jour rollup (RU) actuellement prises en charge.

Les administrateurs peuvent trouver plus d’informations sur les mises à jour prises en charge et comment installer les correctifs dans un article de Microsoft Exchange Team publié récemment.

Pour détecter si un serveur Microsoft Exchange a été exploité à l’aide de ces vulnérabilités, Microsoft a fourni des commandes PowerShell et de console pour numériser les logs du journal d’événements/des serveurs exchange pour trouver des traces de l’attaque.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire