Posté le mars 9, 2020 à 8:22
LES SERVEURS DE MICROSOFT EXCHANGE EXPLOITÉS PAR LES HACKERS D’ÉTATS NATIONS
Volexity, une société britannique de cybersécurité a découvert vendredi une exploitation des serveurs de Microsoft Exchange et a affirmé que plusieurs groupes d’États nations en étaient responsables.
Cependant, Volexity n’a pas fait de nouvelles déclarations sur la nature de l’attaque et ne partage pas les noms des groupes responsables de l’attaque.
La société de cybersécurité a décrit les attaquants comme «tous les grands acteurs», mais a refusé de mentionner les pays ou les groupes impliqués.
Microsoft Exchange Server présente une vulnérabilité
Les serveurs vulnérables que les hackers exploitent ont été patchés par Microsoft le mois dernier. La vulnérabilité est connue sous le nom de CVE-2020-0688, avec des détails techniques.
Les serveurs de Microsoft Exchange n’ont pas pu générer une clé cryptographique distinctive pour le panneau de contrôle d’échange lors de l’installation.
Cela signifie que Microsoft utilise des clés cryptographiques identiques (decrypionKey et validationKey) pour tous ses logiciels de messageries depuis 10 ans. Par conséquent, les hackers peuvent tirer profit d’une requête malformée au panneau de contrôle des échanges, qui contient des données sérialisées malveillantes, et la transmettre au panneau de contrôle des échanges.
Comme les hackers connaissent bien les clés de cryptage du panneau de contrôle, ils peuvent désérialiser les données sérialisées, ce qui entraîne l’infiltration de codes malveillants dans le backend du serveur d’Exchange.
Cependant, le pire est le fait que le SYSTÈME donne au code malveillant l’accès pour avoir le contrôle complet du serveur.
Microsoft a publié des mises à jour le 11 du mois dernier pour corriger cette faille. Tout en anticipant les futures attaques, la société a demandé aux administrateurs système d’installer les mises à jour le plus rapidement possible.
La preuve de concept a ouvert la voie au piratage
Il n’y a eu aucun événement pendant les deux semaines qui ont suivi la correction de la faille. Cependant, vers la fin du mois dernier, les choses ont commencé à s’aggraver lorsque Zero Day Initiative a publié un rapport technique contenant des détails sur la faille. Après la publication de ce rapport, l’attention des chercheurs en sécurité et des hackers sans scrupules a été attirée sur la situation.
Les chercheurs en sécurité ont utilisé les informations contenues dans les détails publiés pour créer des exploits de preuve de concept. L’idée était de tester leurs serveurs, de fournir une feuille de route pour la détection et de préparer des mesures d’atténuation.
Comme d’autres cas dans le passé, une fois que la preuve de concept et les détails techniques de la faille ont été rendus publics, cela a attiré encore plus l’attention des hackers sur la faille.
Après que le rapport de Zero Day Initiative ait été rendu public, le lendemain, certains groupes de hacker ont commencé faire des recherches sur les serveurs de Microsoft Exchange, établissant une liste de serveurs susceptibles d’être exploités à l’avenir. Une société de sécurité connue sous le nom de Bad Packets a détecté les premiers scans des serveurs de Microsoft Exchange par ces hackers.
Selon Volexity, les attaquants ne se contentent pas de scanner les serveurs, ils les attaquent. L’équipe de sécurité a révélé que les APT (Advanced Persistent Threats) sont le premier groupe à transformer les scans en véritables attaques. Les ATP sont un groupe généralement utilisé pour désigner les cybermenaces parrainées par le gouvernement.
Mais Volexity s’attend à ce que d’autres groupes lui emboîtent le pas. Ils soupçonnent que la vulnérabilité deviendrait très attrayante pour les groupes utilisant des logiciels de rançon qui ciblent généralement les réseaux d’entreprises.
La vulnérabilité n’est pas facile à exploiter
La vulnérabilité du serveur de Microsoft Exchange n’est pas facile à exploiter. Les chercheurs en sécurité affirment que les failles ne seraient pas exploitées ou compromises par des hackers non qualifiés.
Selon eux, pour que quelqu’un réussisse à pirater ou à exploiter la faille, il doit être hautement qualifié, c’est pourquoi il est ciblé par des hackers parrainés par l’État.
«Pour que quelqu’un puisse exploiter avec succès le CVE-2020-0688, le hacker aurait besoin de détails pour un compte de messagerie sur le serveur», explique Volexity. Les hackers doivent se connecter au serveur et détourner le serveur de messagerie du système, ce qu’un hacker ordinaire ne peut pas faire.
La faille n’empêchera pas les hackers sophistiqués d’entrer
Selon les experts, bien que cette limitation empêche les hackers informatiques ordinaires d’infiltrer le serveur d’Exchange, elle ne suffit pas à tenir à distance les groupes utilisant des logiciels de rançon et les APT.
Ces derniers passent généralement une grande partie de leur temps à envoyer des campagnes d’hameçonnage pour obtenir les coordonnées des comptes e-mail des employés de l’organisation.
Mais ces informations sont inutiles si l’organisation utilise une authentification à deux facteurs (2FA), car les hackers ne peuvent pas contourner la sécurité supplémentaire.
Mais avec la faille CVE-2020-0688, les APT vont maintenant trouver une utilité aux comptes d’hammeçonnage qu’ils ont en leur possession. Ils n’auront plus besoin de contourner la 2FA pour accéder au serveur d’Exchange de la victime.
