Posté le février 16, 2022 à 9:19
UNE ÉTUDE DE SOPHOS RÉVÈLE DES VULNÉRABILITÉS EXPLOITÉES SUR MICROSOFT EXCHANGE SERVER
Une série d’attaques de cybersécurité a été détectée sur Microsoft Exchange Server. Les attaques ont été lancées en combinant ProxyLogon, ProxyShell et Squirrelwaffle.
L’annonce indique que les serveurs sont exploités à des fins de fraude financière. L’exploitation a été effectuée sur des systèmes vulnérables qui n’ont pas appliqué de mesures de sécurité strictes.
Exploit sur Microsoft Exchange Server
L’une des façons dont les utilisateurs peuvent se protéger de cette vulnérabilité est d’utiliser des mots de passe forts qui sécuriseront les comptes en ligne contenant des informations précieuses. L’une des façons de renforcer cette sécurité est d’utiliser un processus d’authentification à deux facteurs qui renforce la sécurité.
Un rapport récent de Sophos a révélé l’exploitation de Microsoft Exchange Server. La recherche indique que les vulnérabilités du serveur n’ont pas été corrigées, ce qui n’a pas permis d’assurer la protection nécessaire contre les bugs qui pourraient être détectés et exploités par des acteurs de la menace. Les attaquants ont ciblé ces vulnérabilités pour accéder aux fils de messagerie et envoyer des malspams.
Microsoft a publié un correctif d’urgence pour ces vulnérabilités le 2 mars 2021. L’entreprise a publié ces correctifs pour éliminer les vulnérabilités zero-day qui pourraient être utilisées pour obtenir un accès non autorisé aux serveurs. L’un des groupes de hackers qui exploite les bugs est le groupe de menaces persistantes avancées (APT) Hafnium. Le groupe a exploité les vulnérabilités avant la publication du correctif, et cette action a incité de nombreux autres APT à exploiter également le bug.
Comme dans de nombreux cas, certaines organisations n’ont pas encore corrigé les vulnérabilités. L’un des bugs les plus connus est la vulnérabilité ProxyLogon/ProxyShell, pour laquelle, malgré la publication d’un correctif, certaines organisations ont laissé les serveurs sans correctif et ouverts aux attaques.
Le récent rapport de Sophos a établi un lien entre l’exploitation des vulnérabilités de Microsoft Exchange Server et Squirrelwaffle. Squirrelwaffle est un chargeur de logiciels malveillants dont l’activité a été révélée l’année dernière après avoir été utilisée dans une série de campagnes malveillantes. Le chargeur de logiciels malveillants est généralement déployé sur les appareils de la victime par le biais de documents Microsoft Office ou DocuSign infectés. Ces documents sont généralement joints sous la forme d’un e-mail de phishing incitant les utilisateurs peu méfiants à télécharger le logiciel malveillant sur leurs appareils.
Lorsqu’une victime active les macros dans les documents qui ont été compromis, le chargeur de logiciels malveillants est utilisé pour extraire et exécuter les balises CobaltStrike à l’aide d’un script VBS. Le rapport de Sophos ajoute que le chargeur de logiciels malveillants a été déployé sur les appareils après que Microsoft Exchange Server ait été affecté lors de la dernière campagne malveillante.
Le rapport ajoute que le serveur utilisé pour « distribuer en masse » le chargeur de logiciels malveillants appartenait à une organisation non identifiée. Le chargeur de logiciels malveillants Squirrelwaffle serait distribué à des adresses électroniques internes et externes en obtenant un accès non autorisé aux menaces existantes envoyées par courriel entre les employés.
Les attaquants accèdent aux données de l’organisation
Le détournement d’un e-mail peut se faire de plusieurs manières. L’un de ces moyens consiste en des fils de communication qui seront exploités à l’aide de l’ingénierie sociale et de l’usurpation d’identité, l’acteur malveillant se faisant passer pour un dirigeant de l’entreprise et trompant le service comptable pour qu’il approuve une fausse transaction. Les attaquants peuvent également envoyer un courriel contenant des liens dirigeant les employés vers des charges utiles de logiciels malveillants.
Les attaquants ont utilisé Squirrelwaffle pour diffuser le logiciel malveillant. Ils ont également franchi une étape supplémentaire en accédant à un fil de messagerie, puis en utilisant les informations internes pour réaliser une fraude financière.
Lorsque les attaquants ont eu accès aux serveurs de l’organisation, ils ont recueilli des informations sur les clients. Les attaquants ont ensuite enregistré un domaine dont le nom était presque similaire à celui de l’organisation concernée. Ils ont également créé des comptes de messagerie en utilisant ce domaine et ont ensuite répondu aux clients en dehors de ses serveurs.
Sophos a également déclaré que la légitimité des conversations était renforcée lorsque l’attaquant copiait différentes adresses électroniques pour montrer qu’il collaborait avec d’autres départements. Cependant, l’attaquant a créé ces adresses e-mail supplémentaires pour que le mail ait l’air authentique.
Dans l’un des cas, l’attaquant a tenté d’initier une transaction financière. Cependant, la banque traitant la transaction n’a pas donné suite après avoir soupçonné que le destinataire pouvait être frauduleux, et la victime n’a pas subi de perte financière.
Selon Matthew Everts, chercheur chez Sophos, la détection de ce logiciel malveillant montre que la correction des vulnérabilités ne suffit pas.
« Dans le cas de serveurs Exchange vulnérables, par exemple, il faut aussi vérifier que les attaquants n’ont pas laissé derrière eux un shell web pour maintenir l’accès. Et lorsqu’il s’agit d’attaques d’ingénierie sociale sophistiquées, telles que celles utilisées pour le détournement de fils de discussion, il est essentiel d’informer les employés sur les points à surveiller et sur la manière de les signaler pour les détecter », ajoute M. Everts.
