Posté le avril 15, 2021 à 19:40
LE FBI SUPPRIME LES PORTES DÉROBÉES DES SERVEURS MICROSOFT EXCHANGE COMPROMIS
Les serveurs Microsoft Exchange ont été ciblés par les acteurs malveillants HAFNIUM au cours du mois dernier. En réponse à cette vague d’attaques, Microsoft a publié des correctifs hors bande et a averti les utilisateurs d’appliquer les mises à jour dès que possible. Cependant, il semble que la menace ne soit pas encore terminée après que le conseiller à la sécurité nationale (NSA), en collaboration avec Microsoft, ait corrigé quatre nouvelles vulnérabilités dans le produit Exchange Server.
Microsoft a annoncé le dernier correctif alors qu’il traitait plusieurs CVE. 19 correctifs ont été qualifiés de « critiques ». Cela porte à 329 le nombre de correctifs apportés au serveur Exchange pour cette seule année.
Dans le même ordre d’idées, un tribunal siégeant à Houston a donné au FBI le pouvoir de supprimer les portes dérobées de plusieurs serveurs de messagerie Microsoft Exchange aux États-Unis. Cette décision intervient quelques mois après que des acteurs malveillants ont exploité quatre vulnérabilités découvertes précédemment pour lancer des attaques sur des milliers de réseaux. Selon le ministère de la justice, l’opération visant à supprimer les portes dérobées a été « couronnée de succès ».
Le mois dernier, Microsoft a déclaré avoir découvert Hafnium, un nouveau groupe de hackers parrainé par l’État chinois, qui exploitait des serveurs d’échange exploités depuis des réseaux d’entreprise.
Les serveurs déjà concernés sont toujours vulnérables
Les quatre vulnérabilités étaient liées entre elles, ce qui a permis aux acteurs malveillants d’exploiter le serveur Exchange vulnérable et d’en voler le contenu. Bien que Microsoft ait fourni des correctifs pour les vulnérabilités, les serveurs qui avaient déjà été compromis par les hackers pouvaient encore être exploités par ces derniers. Quelques jours plus tard, d’autres acteurs malveillants ont commencé à déployer des logiciels malveillants en s’attaquant aux serveurs vulnérables présentant les mêmes failles.
Satnam Narang, ingénieur de recherche chez Tenable, a déclaré qu’après l’exploitation dans la nature de ProxyLogon et d’autres zero-days dans Microsoft Exchange, quatre autres vulnérabilités ont été corrigées.
« Les quatre vulnérabilités sont attribués à la NSA, et deux ont également été découverts par Microsoft en interne », a ajouté Narang.
Deux des vulnérabilités (CVE-2021-28481 et CVE-2021-28480) sont liées à la pré-authentification, ce qui signifie que les acteurs malveillants peuvent les exploiter sans s’authentifier auprès du serveur Exchange vulnérable.
Il a réitéré que les acteurs malveillants ont intensifié leur intérêt pour les serveurs Exchange au cours du mois dernier. Par conséquent, les organisations doivent appliquer rapidement les correctifs au serveur Exchange pour éviter une exploitation prolongée de la vulnérabilité.
Les deux agences ont fourni des informations essentielles
Le FBI et la NSA se sont associés pour fournir des informations sur les exploits visant les serveurs Exchange. Le FBI a également mis en garde contre le nombre alarmant de serveurs Exchange non patchés, dont les acteurs malveillants ont profité pour les exploiter. Le patch de mandat accordé au FBI est une autorisation rare. Mais cette action n’est pas non plus liée aux vulnérabilités identifiées par la NSA hier.
Le FBI a déposé ses documents auprès du tribunal, et il a été signalé que les serveurs Exchange concernés étaient infectés par des shells web installés par les acteurs malveillants HAFNIUM. Le FBI a demandé l’autorisation du tribunal parce qu’il a déclaré que les propriétaires des services affectés n’étaient pas en mesure de supprimer les shells web de manière indépendante. Par conséquent, une action rapide était nécessaire pour protéger les autres systèmes.
Le FBI n’a corrigé aucun serveur
Le FBI a souligné que les opérations n’avaient pas pour but de corriger les vulnérabilités des serveurs Microsoft Exchange ou de supprimer tout logiciel malveillant des serveurs. L’agence a ensuite conseillé aux défenseurs du réseau d’examiner les conseils de remédiation fournis par Microsoft. Ils devraient également consulter l’avis conjoint du 10 mars 2021, qui les guidera sur la manière de détecter et de corriger leurs systèmes.
Selon le mandat accordé au FBI, les serveurs web affectent la communication ou le commerce étranger et interétatique, sur la base de la connexion Internet. Les serveurs ont été énormément touchés et les shells web ont affecté la disponibilité des informations, des systèmes, des programmes et des données sur les serveurs.
Selon le rapport, tous les systèmes ciblés étaient basés dans le district nord de la Géorgie, le district nord de l’Iowa, le district ouest de la Louisiane, le district de l’Idaho, le district sud de l’Ohio, le district nord de l’Illinois, le district du Massachusetts et le district sud du Texas.
