Le ransomware Conti cible les serveurs Exchange avec des exploits ProxyShell

0

Le gang de ransomware Conti pirate les serveurs Microsoft Exchange et viole les réseaux d’entreprise à l’aide d’exploits de vulnérabilité ProxyShell récemment divulgués.

ProxyShell est le nom d’un exploit utilisant trois vulnérabilités Microsoft Exchange associées (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) qui permettent l’exécution de code à distance non authentifié sur des serveurs vulnérables non corrigés.

Ces trois vulnérabilités ont été découvertes par Orange Tsai de Devcore, qui les a utilisées dans le cadre du concours de piratage Pwn2Own 2021.

Alors que Microsoft a entièrement corrigé ces vulnérabilités en mai 2021, des détails techniques concernant l’exploitation des vulnérabilités ont été récemment publiés, permettant aux pirates informatiques de commencer à les utiliser dans des attaques.

Jusqu’à présent, nous avons vu des pirates informatiques utiliser les vulnérabilités ProxyShell pour propager des webshells, des portes dérobées et pour déployer le ransomware LockFile.

Conti utilise maintenant ProxyShell pour pirater les réseaux

Sophos a été impliqué dans une affaire de réponse à un incident où le gang de ransomware Conti a chiffré une organisation.

Après avoir analysé l’attaque, Sophos a découvert que les pirates informatiques avaient initialement compromis le réseau en utilisant les vulnérabilités Microsoft Exchange ProxyShell récemment révélées.

Comme les attaques Microsoft Exchange les plus récentes, les pirates informatiques déposent d’abord les shells Web utilisés pour exécuter des commandes, télécharger des logiciels et compromettre davantage le serveur.

Une fois que les pirates informatiques ont pris le contrôle total du serveur, Sophos les a observés rapidement adopter leurs tactiques standard, comme indiqué dans le matériel de formation Conti récemment divulgué.

Cette routine comprend l’obtention de listes d’administrateurs de domaine et d’ordinateurs, la récupération de LSASS pour accéder aux informations d’identification d’administrateur et le déplacement latéral sur le réseau vers d’autres serveurs.

Au fur et à mesure que les pirates informatiques compromettaient divers serveurs, ils installaient plusieurs outils pour fournir un accès à distance aux appareils, tels que les balises AnyDesk et Cobalt Strike.

conti sophos
Outils que Conti a utilisés dans l’attaque observée

Après avoir pris pied sur le réseau, les pirates informatiques ont volé des données non chiffrées et les ont téléchargées sur le serveur de partage de fichiers MEGA. Au bout de cinq jours, ils ont commencé à chiffrer les appareils sur le réseau à partir d’un serveur sans protection antivirus à l’aide de la commande observée:

start C:\x64.exe -m -net -size 10 -nomutex -p \\[computer Active Directory name]\C$

Ce qui a fait ressortir ce cas particulier, c’est la vitesse et la précision avec lesquelles le groupe a mené l’attaque, où il n’a fallu que 48 heures entre la violation initiale et le vol de 1 To de données.

« Dans les 48 heures suivant l’obtention de cet accès initial, les attaquants avaient exfiltré environ 1 téraoctet de données. Au bout de cinq jours, ils ont déployé le ransomware Conti sur chaque machine du réseau, ciblant spécifiquement les partages réseau individuels sur chaque ordinateur », a expliqué Sophos dans leur rapport.

« Au cours de l’intrusion, les filiales de Conti ont installé pas moins de sept portes dérobées sur le réseau : deux shells Web, Cobalt Strike et quatre outils commerciaux d’accès à distance (AnyDesk, Atera, Splashtop et Remote Utilities). »

« Les shells Web, installés au début, ont été utilisés principalement pour l’accès initial; Cobalt Strike et Any Desk étaient les principaux outils qu’ils ont utilisés pour le reste de l’attaque. »

Patchez vos serveurs Exchange maintenant !

Lors de la conduite d’attaques à l’aide de ProxyShell, les acteurs malveillants ciblent le service de découverte automatique en effectuant des requêtes comme suit:

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Pour vérifier si votre serveur Exchange a été ciblé, vous pouvez examiner les journaux IIS pour les requêtes à « /autodiscover/autodiscover.json » avec des e-mails étranges ou inconnus.

Dans le cas Conti observé par Sophos, les pirates informatiques ont utilisé un e-mail de @evil.corp, ce qui devrait facilement faire ressortir les tentatives d’exploit.

evil corp proxyshell requests
Activité de l’exploit ProxyShell de l’attaque du ransomware Conti

Sans aucun doute, les vulnérabilités ProxyShell sont actuellement utilisées par un large éventail de pirates informatiques, et tous les administrateurs de serveur Microsoft Exchange doivent appliquer les mises à jour cumulatives les plus récentes pour rester protégés.

Malheureusement, cela entraînera une interruption de la messagerie lors de l’installation des mises à jour. Cependant, c’est bien mieux que les temps d’arrêt et les dépenses qu’une attaque de rançon réussie entraînera.

Laisser un commentaire