Posté le mai 11, 2019 à 20:40
UNE ATTAQUE D’UN MOIS SUR LES SERVEURS MICROSOFT SHAREPOINT.
Un certain nombre de groupes de hackers cherchent à exploiter une vulnérabilité des serveurs SharePoint de Microsoft, ce qui leur donnerait accès aux réseaux d’entreprises et gouvernementaux. Cette information provient à la fois des agences de cybersécurité canadiennes et saoudiennes. La faille que les hackers tentent d’exploiter a été corrigée par les mises à jour de sécurité Microsoft de février, mars et avril de cette année et est connue sous le nom de CVE-2019-0604 dans le Guide de mise à jour de sécurité de Microsoft.
Cet article a été publié le 2 février et mis à jour le 25 avril. Selon l’article, tout attaquant capable d’exploiter cette faille serait en mesure d’exécuter du code «dans le contexte du pool d’applications SharePoint et de compte de la batterie de serveurs SharePoint».
L’utilisateur devrait télécharger un pack d’application spécialement conçu pour SharePoint, mais le correctif a changé la méthode par laquelle «SharePoint vérifie le balisage des codes sources des packs d’application».
Attaques en cours depuis avril.
Markus Wulftange, le chercheur en sécurité qui a été le premier à découvrir cette faille, a publié un code de démonstration du bug CVE-2019-0604 en mars. D’autres exemples de code de démonstration sont rapidement apparus sur Github et Pastebin. Sans surprise, les attaques ont commencé peu après avec l’envoi d’une alerte par le Centre canadien pour la cybersécurité le mois dernier, suivi d’une deuxième alerte par le Centre national de cyber-sécurité saoudien cette semaine.
Les deux agences de cybersécurité ont constaté que des serveurs de la plateforme SharePoint avaient été repris et que le Webshell China Chopper a été installé. China Chopper est un script malveillant spécifique aux serveurs qui permet aux acteurs malveillants d’émettre diverses commandes à être exécuter par le serveur. Les autorités canadiennes ont mentionné le fait que les chercheurs en sécurité qui avaient beaucoup confiance dans l’industrie avaient réussi à identifier les systèmes compromis. Ces systèmes appartiennent à divers secteurs universitaires, des services publics, de la fabrication et de la technologie, montrant à quel point les instructions sont répandues.
Les chercheurs saoudiens n’ont pas mentionné les cibles visées par les attaquants, mais ils ont utilement analysé le réseau d’une seule victime après une intrusion. Cette analyse a montré comment les scripts PowerShell ont été utilisés pour obtenir un accès supplémentaire permettant aux acteurs malveillants de s’implanter dans le réseau et de commencer leur reconnaissance interne. Les autorités saoudiennes mentionnent également que ces attaques visent des organisations saoudiennes, et qui se déroulaient depuis deux semaines, ce qui montre qu’elles ont commencé à peu près au moment où l’agence canadienne a lancé l’alerte.
L’avis du chercheur d’AT&T.
Chris Doman, chercheur en sécurité chez Alien Vault Labs (AT&T), trouve intéressant de constater que les deux agences de sécurité ont signalé les installations de China Chopper au début des intrusions. Il a ensuite ajouté qu’il n’existe aucune preuve sur le lien entre les deux. Bien que tous deux aient trouvé China Chopper, il n’est pas rare que le malware soit utilisé par des hackers provenant de différentes régions, malgré le nom indiquant le contraire.
Un autre chercheur a fait remarquer sur Twitter que les adresses IP considérées comme faisant partie de l’attaque étaient des adresses IP provenant du groupe de hackers FIN7, bien connu pour ses attaques contre des institutions financières.
Coman a mentionné que l’IP en question a été attribuée à FIN7 dans les mois précédents mais qu’il n’a pas trouvé d’autre activité malveillante venant de ce dernier, ce qui voudrait dire que ce ne serait pas une IP qui est souvent utilisée comme VPNs ou serveurs web libres. Au mieux, ce serait un maillon faible selon Coman.
Un correctif ou un pare-feu est impératif.
Microsoft et le secteur de la sécurité ont tous deux déclaré que les serveurs devraient être mis à jour dès que possible pour éliminer les menaces d’accès aux serveurs. S’il n’y a aucun moyen de mettre à jour les serveurs, ceux-ci doivent être protéger par un pare-feu qui ne sera accessible que depuis les réseaux internes. Même si cela n’offre pas une protection complète aux serveurs, cela atténuerait la fuite d’informations au sein des organisations elles-mêmes, car cela empêcherait les attaquants de pénétrer dans les réseaux internes des entreprises.
