LES HACKERS ATTIRENT L’ATTENTION SUR LES SERVEURS MICROSOFT EXCHANGE VULNÉRABLES

Posté le août 14, 2021 à 9:35

LES HACKERS ATTIRENT L’ATTENTION SUR LES SERVEURS MICROSOFT EXCHANGE VULNÉRABLES

Un rapport récent a révélé que les attaquants analysent et exploitent les serveurs Exchange via une chaîne d’exploitation inconnue.

Selon le rapport, les hackers profitent de trois séries de failles qui affectent les installations sur site. Cela fait suite à l’exploitation massive des vulnérabilités ProxyLogon au début de l’année.

30 000 systèmes déjà touchés

Selon les chercheurs en sécurité qui ont découvert l’exploitation, environ 30 000 machines sont déjà touchées par les bugs, et les failles d’exécution de code à distance sont appelées « ProxyShell ».

Le SANS Internet Storm Center a effectué une analyse des vulnérabilités et a découvert que d’autres systèmes pouvaient encore être touchés.

Richard Warren de NCC Group a tweeté au sujet des vulnérabilités, en disant que l’une des intrusions a conduit au déploiement de « C# aspx webshell dans le répertoire /aspnet_client/ ».

Il a également déclaré que le groupe a commencé à remarquer des exploits sauvages contre l’infrastructure de honeypot de la plateforme pour les vulnérabilités ProxyShell d’échange.

Le correctif pour ProxyLogon a été publié plus tôt dans Match cette année. La vulnérabilité est représentée par CVE-2021-26855, qui est un bug de falsification de requête côté serveur dans le serveur Exchange. Ce bug permet à un acteur malveillant d’avoir un accès complet au serveur vulnérable de l’administrateur. Une fois qu’il a mis la main sur les contrôles administratifs, il peut la combiner avec la vulnérabilité d’écriture de fichier arbitraire, représentée par CVE-2021-27065, pour réussir à établir une exécution de code.

Les auteurs de la menace sont liés à un groupe de hackers parrainé par Pékin

Les vulnérabilités ont été remarquées et exposées après que le géant de la technologie Microsoft a révélé l’existence d’un groupe de hackers parrainé par Pékin. Ce dernier a utilisé les vulnérabilités pour lancer des attaques répétées contre des entreprises américaines afin d’exfiltrer des informations. Toutefois, à l’époque, Microsoft a qualifié ces attaques de limitées et ciblées.

Il semble que les hackers utilisent désormais une stratégie plus directe pour tirer parti des anciennes vulnérabilités découvertes sur les serveurs Microsoft Exchange.

Depuis que Microsoft a démasqué les hackers basés à Pékin, elle a publié des correctifs pour environ six des failles. Deux des failles corrigées étaient connues sous le nom de ProxyOracle, qui permet à un acteur malveillant d’utiliser un format en texte clair pour obtenir le mot de passe de l’utilisateur.

Cependant, Microsoft doit encore relever des défis pour résoudre d’autres problèmes. Trois de ces problèmes peuvent être exploités par un attaquant en contournant les contrôles ACL, selon le rapport. Lorsque les hackers réussissent l’exploitation, cela peut leur donner certains privilèges élevés sur le backend PowerShell d’Exchange. Cela peut donner à l’attaquant une authentification efficace, conduisant à l’exécution de code à distance.

Microsoft a admis que les deux CVE-2021-34523 et CVE-2021-34473 ont été involontairement exclus de la publication jusqu’en juillet.

Les organisations sont invitées à installer les mises à jour

Orange Tsai, un chercheur de DEVCORE, a initialement divulgué les détails techniques de la chaîne d’attaque ProxyShell lors de la récente conférence sur la sécurité DEF CON et Black Hat USA 2021.

Les chercheurs en sécurité ont conseillé aux utilisateurs ce qu’ils doivent faire pour empêcher les tentatives d’exploitation par les acteurs de la menace. Les organisations ont été invitées à installer les mises à jour publiées par Microsoft dès que possible.

Microsoft a déclaré que des correctifs pour les vulnérabilités suivantes sont disponibles.

Parmi celles-ci figurent : CVE-2021-33768, CVE-2021-34523, CVE-2021-34473, CVE-2021-31207, CVE-2021-31196, CVE-2021-31195, CVE-2021-27065, et CVE-2021-26857.

Les mises à jour sont disponibles depuis le 13 mars 2021. Microsoft a également averti que les organisations qui n’ont pas appliqué les mises à jour courent un risque plus élevé d’être exploitées.

Les serveurs Microsoft Exchange subissent des attaques répétées

Ce n’est pas la première fois que les serveurs Microsoft Exchange sont vulnérables aux attaques. En mars de cette année, environ 30 000 organisations basées aux États-Unis ont été touchées par une cyberattaque orchestrée par le cyberespionnage chinois. L’attaque a touché des administrations locales, des villes et des petites entreprises. Les attaquants ont fait une percée grâce à quatre vulnérabilités dans le logiciel de messagerie Microsoft Exchange Server, car ils ont volé les courriels des organisations victimes.

Ensuite, Microsoft a déclaré que les serveurs d’échange avaient été pris pour cible par un groupe de hackers chinois inconnu jusqu’alors et surnommé « Hafnium ». Selon le géant technologique, le groupe a mené des attaques ciblées sur plusieurs systèmes de messagerie électronique utilisés par différentes organisations dans un large éventail de secteurs. Il s’agit notamment d’ONG, de groupes de réflexion politique, d’entreprises de défense, d’établissements d’enseignement supérieur, de cabinets d’avocats et de chercheurs en maladies infectieuses.

Summary
LES HACKERS ATTIRENT L'ATTENTION SUR LES SERVEURS MICROSOFT EXCHANGE VULNÉRABLES
Article Name
LES HACKERS ATTIRENT L'ATTENTION SUR LES SERVEURS MICROSOFT EXCHANGE VULNÉRABLES
Description
Un rapport récent a révélé que les attaquants analysent et exploitent les serveurs Exchange via une chaîne d'exploitation inconnue.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading