Des serveurs Microsoft Exchange sont piratés par le nouveau ransomware LockFile

0

Un nouveau gang de ransomware connu sous le nom de LockFile chiffre les domaines Windows après avoir piraté les serveurs Microsoft Exchange à l’aide des vulnérabilités ProxyShell récemment révélées.

ProxyShell est le nom d’une attaque composée de trois vulnérabilités Microsoft Exchange associées qui entraînent l’exécution de code à distance non authentifié.

Les trois vulnérabilités ont été découvertes par Orange Tsai, chercheur principal en sécurité de Devcore, qui les a associées pour prendre le contrôle d’un serveur Microsoft Exchange lors du concours de piratage Pwn2Own 2021 d’Avril.

  • CVE-2021-34473 – La confusion du chemin de pré-authentification conduit au contournement d’ACL (correctif en avril par KB5001779)
  • CVE-2021-34523 – Élévation des privilèges sur le backend Exchange PowerShell (correctif en avril par KB5001779)
  • CVE-2021-31207 – Ecriture de fichier arbitraire post-authentification mène à l’exécution de code à distance (correctif en mai par KB5003435)

Alors que Microsoft a entièrement corrigé ces vulnérabilités en mai 2021, des détails plus techniques ont récemment été divulgués, permettant aux chercheurs en sécurité et aux pirates informatiques de reproduire l’exploit.

Comme rapporté la semaine dernière, cela a conduit les pirates informatiques à rechercher et à pirater activement les serveurs Microsoft Exchange à l’aide des vulnérabilités ProxyShell.

Après avoir exploité un serveur Exchange, les pirates informatiques ont déposé des shells Web qui pourraient être utilisés pour télécharger d’autres programmes et les exécuter.

À l’époque, Rich Warren, chercheur en vulnérabilité de NCC Group, a déclaré que les shells Web étaient utilisés pour installer une porte dérobée .NET qui téléchargeait une charge utile inoffensive à l’époque.

Depuis lors, le chercheur en sécurité Kevin Beaumont rapporte qu’une nouvelle opération de ransomware connue sous le nom de LockFile utilise les vulnérabilités ProxyShell et PetitPotam pour prendre en charge les domaines Windows et chiffrer les appareils.

Lors de la violation d’un réseau, les pirates informatiques accéderont d’abord au serveur Microsoft Exchange sur site à l’aide des vulnérabilités ProxyShell. Une fois qu’ils ont pris pied, Symantec affirme que le gang LockFile utilise la vulnérabilité PetitPotam pour prendre le contrôle d’un contrôleur de domaine, et donc du domaine Windows.

À partir de là, il est trivial de déployer le ransomware sur l’ensemble du réseau.

Ce que nous savons sur le ransomware LockFile

À l’heure actuelle, on ne sait pas grand-chose sur la nouvelle opération de ransomware LockFile.

Lorsqu’elle a été vue pour la première fois en juillet, la demande de rançon était nommée « LOCKFILE-README.hta » mais n’avait aucune marque particulière, comme indiqué ci-dessous.

lockfile
Anciennes notes de rançon de LockFile

Récemment, les chercheurs ont commencé à recevoir des rapports sur un gang de ransomware utilisant des notes de rançon de marque indiquant qu’ils s’appelaient «LockFile», comme indiqué ci-dessous

Ces notes de rançon utilisent un format de nommage de ‘[victim_name]-LOCKFILE-README.hta’ et ont incité la victime à les contacter via Tox ou par e-mail pour négocier la rançon. L’adresse e-mail actuelle utilisée par l’opération est contact@contipauper.com, qui semble être une référence à l’opération du ransomware Conti.

lockfile

Bien que les couleurs des notes de rançon soient similaires, les méthodes de communication et la formulation ne permettent pas de savoir s’il s’agit de la même opération.

Il est particulièrement intéressant de noter que la palette de couleurs et la disposition des notes de rançon sont très similaires à celles du ransomware LockBit, mais il ne semble pas y avoir de relation.

Lors du cryptage des fichiers, le ransomware ajoute l’extension .lockfile aux noms des fichiers cryptés.

Patchez maintenant !

Comme l’opération LockFile utilise à la fois les vulnérabilités ProxyShell et la vulnérabilité PetitPotam, il est impératif que les administrateurs Windows installent les dernières mises à jour.

Pour les vulnérabilités ProxyShell, vous pouvez installer les dernières mises à jour cumulatives de Microsoft Exchange pour corriger les vulnérabilités.

L’attaque PetitPotam se complique un peu car la mise à jour de sécurité de Microsoft est incomplète et ne corrige pas tout les vecteurs de vulnérabilité.

Pour corriger l’attaque PetitPotam, vous pouvez utiliser un correctif non officiel de 0patch pour bloquer ce vecteur d’attaque de relais NTLM ou appliquer des filtres RPC NETSH qui bloquent l’accès aux fonctions vulnérables dans l’API MS-EFSRPC.

Beaumont indique que vous pouvez effectuer les requêtes Azure Sentinel suivantes pour vérifier si votre serveur Microsoft Exchange a été analysé pour la vulnérabilité ProxyShell.

W3CIISLog
| where csUriStem == "/autodiscover/autodiscover.json"
| where csUriQuery has "PowerShell" | where csMethod == "POST"

Il est fortement conseillé à toutes les organisations d’appliquer les correctifs dès que possible et de créer des sauvegardes hors ligne de leurs serveurs Exchange.

Laisser un commentaire