L’outil MSERT de Microsoft détecte les web shells des attaques de serveurs Exchange

0

Microsoft a déployé une nouvelle mise à jour pour leur outil Microsoft Safety Scanner (MSERT) qui détecte les Web shells déployées dans les récentes attaques Exchange Server.

Le 2 mars, Microsoft a révélé que quatre vulnérabilités zero-day d’Exchange Server étaient utilisées dans des attaques contre les serveurs Outlook exposés sur le Web (OWA). Ces vulnérabilités sont identifiées comme CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.

Connues sous le nom de « ProxyLogon », ces vulnérabilités sont utilisées par des pirates chinois parrainés par leur État pour dérober des e-mails, récolter des informations d’identification et déployer des Web shells pour accéder au réseau interne.

Lorsque Microsoft a révélé ces attaques, ils avaient déployé des mises à jour de signatures pour Microsoft Defender qui détecteront les Web shells installés à l’aide des vulnérabilités zero-day.

Ces Web shells sont détectées à l’aide des noms suivants par Microsoft Defender:

  • Exploit:Script/Exmann.A!dha
  • Behavior:Win32/Exmann.A
  • Backdoor:ASP/SecChecker.A
  • Backdoor:JS/Webshell (pas seulement pour ces attaques)
  • Trojan:JS/Chopper!dha (pas seulement pour ces attaques)
  • Behavior:Win32/DumpLsass.A!attk (pas seulement pour ces attaques)
  • Backdoor:HTML/TwoFaceVar.B (pas seulement pour ces attaques)

Pour les organisations n’utilisant pas Microsoft Defender, Microsoft a ajouté les mises à jour de signatures dans leur outil autonome Microsoft Safety Scanner pour aider les organisations à trouver et supprimer les Web shells utilisés dans ces attaques.

Utiliser Microsoft Safety Scanner pour supprimer les web shells

Microsoft Safety Scanner, également connu sous le nom de Microsoft Support Emergency Response Tool (MSERT), est un outil antimalware portable autonome qui inclut des signatures Microsoft Defender pour scanner et supprimer les logiciels malveillants détectés.

MSERT est un scanner à la demande et ne fournira aucune protection en temps réel. Par conséquent, il ne doit être utilisé que pour les analyses ponctuelles et ne peut pas servir de programme antivirus à part entière.

En outre, MSERT supprimera automatiquement tous les fichiers détectés et ne les mettra pas en quarantaine si vous ne démarrez pas le programme avec l’argument /N, par exemple msert.exe /N. Pour scanner les web shells et ne pas les supprimer, vous pouvez également utiliser le script PowerShell décrit à la fin de l’article.

Microsoft Safety Scanner peut être téléchargé en tant qu’exécutable 32 bits ou 64 bits et utilisé pour effectuer des analyses ponctuelles d’une machine au besoin.

Après le lancement du programme, acceptez les accords de licence, et vous verrez un écran demandant quel type d’analyse vous souhaitez effectuer.

Microsoft vous recommande de sélectionner l’option « Analyse complète » pour scanner l’ensemble du serveur.

microsoft safety scanner

Comme l’analyse complète peut prendre beaucoup de temps en fonction de la taille de votre installation, Microsoft indique également que vous pouvez effectuer un « scan personnalisé » par rapport à chacun des dossiers suivants:

  • %chemin d’installation de IIS%\aspnet_client\*
  • %chemin d’installation de IIS%\aspnet_client\system_web\*
  • %chemin d’installation du serveur Exchange%\FrontEnd\HttpProxy\owa\auth\*
  • Le chemin des fichiers temporaires ASP.NET
  • %chemin d’installation du serveur Exchange%\FrontEnd\HttpProxy\ecp\auth\*

Une fois l’analyse terminée, MSERT signalera quels fichiers ont été supprimés et leur nom de définition.

webshell detecté microsoft safety scanner

Pour plus d’informations détaillées sur les fichiers supprimés, vous pouvez consulter le fichier %SYSTEMROOT%debugmsert.log, comme indiqué ci-dessous.

msert

Lorsque vous avez terminé d’utiliser MSERT, vous pouvez désinstaller l’outil simplement en supprimant l’exécutable msert.exe.

Nouveaux scripts PowerShell trouve les web shells

Si vous souhaitez scanner les web shells sans les supprimer, vous pouvez utiliser un nouveau script PowerShell nommé detect_webshells.ps1 créé par CERT Lettonie.

« L’activité initiale en Janvier 2021 a été attribuée à HAFNIUM, mais depuis lors, d’autres acteurs de la menace ont mis la main sur ces exploits et ont commencé à les utiliser. Avant la divulgation publique et la publication de correctifs par Microsoft (depuis le 27 février environ), les serveurs Exchange exposés au public ont commencé à être exploités à grande échelle. »

« L’installation des dernières mises à jour d’Exchange peu de temps après que Microsoft les aient publiés n’a pas complètement atténué le risque de compromis préalable, donc tous les serveurs Exchange devraient être inspectés pour des signes d’accès non autorisé », explique le CERT-LV dans leur description du projet.

Ce script affichera des fichiers contenant des chaînes spécifiques utilisées par les Web shells, mais pas Microsoft Exchange, dans les attaques ProxyLogon. L’avantage de ce script est qu’il ne supprimera pas le fichier et permettra de l’analyser davantage.

cert

Plus d’informations sur la façon d’utiliser ce script peuvent être trouvées dans le référentiel GitHub du projet CERT-LV.

Microsoft a également publié un script PowerShell appelé Test-ProxyLogon.ps1 qui peut être utilisé pour rechercher des indicateurs de compromis liés à ces attaques dans les fichiers logs d’Exchange et OWA.

Laisser un commentaire