• Votre panier est vide.

  • LOGIN

Des pirates informatiques parrainés par l’État ont probablement exploité MS Exchange 0-Days contre environ 10 organisations


Certains articles de veille peuvent faire l'objet de traduction automatique.


Microsoft a révélé vendredi qu’un seul groupe d’activités en août 2022 avait obtenu un accès initial et violé les serveurs Exchange en enchaînant les deux failles zero-day récemment révélées dans un ensemble limité d’attaques visant moins de 10 organisations dans le monde.

« Ces attaques ont installé le shell Web Chopper pour faciliter l’accès au clavier, que les attaquants ont utilisé pour effectuer la reconnaissance d’Active Directory et l’exfiltration de données », a déclaré le Microsoft Threat Intelligence Center (MSTIC). a dit dans une nouvelle analyse.

La militarisation des vulnérabilités devrait s’intensifier dans les prochains jours, a en outre averti Microsoft, alors que des acteurs malveillants cooptent les exploits dans leurs boîtes à outils, y compris en déployant des rançongiciels, en raison de « l’accès hautement privilégié que les systèmes Exchange confèrent à un attaquant ».

Le géant de la technologie a attribué les attaques en cours avec une confiance moyenne à une organisation parrainée par l’État, ajoutant qu’il enquêtait déjà sur ces attaques lorsque l’Initiative Zero Day a révélé les failles au Microsoft Security Response Center (MSRC) plus tôt le mois dernier, les 8 et 9 septembre 2022. .

La cyber-sécurité

Les deux vulnérabilités ont été collectivement surnommées ProxyNotShelldu fait que « c’est le même chemin et la même paire SSRF/RCE » que ProxyShell mais avec authentification, suggérant un patch incomplet.

Les problèmes, qui s’enchaînent pour obtenir l’exécution de code à distance, sont répertoriés ci-dessous –

  • CVE-2022-41040 (Score CVSS : 8,8) – Vulnérabilité d’élévation des privilèges de Microsoft Exchange Server
  • CVE-2022-41082 (Score CVSS : 8,8) – Vulnérabilité d’exécution de code à distance de Microsoft Exchange Server

« Bien que ces vulnérabilités nécessitent une authentification, l’authentification nécessaire à l’exploitation peut être celle d’un utilisateur standard », a déclaré Microsoft. « Les informations d’identification standard des utilisateurs peuvent être acquises via de nombreuses attaques différentes, telles que la pulvérisation de mots de passe ou l’achat via l’économie cybercriminelle. »

Les vulnérabilités ont été découvertes pour la première fois par la société vietnamienne de cybersécurité GTSC dans le cadre de ses efforts de réponse aux incidents pour un client anonyme en août 2022. Un acteur menaçant chinois est soupçonné d’être à l’origine des intrusions.

Le développement intervient alors que la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis ajoutée les deux vulnérabilités zero-day de Microsoft Exchange Server à son catalogue de vulnérabilités exploitées connues (KEV), obligeant les agences fédérales à appliquer les correctifs d’ici le 21 octobre 2022.

La cyber-sécurité

Microsoft a déclaré qu’il travaillait sur un « calendrier accéléré » pour publier un correctif pour les lacunes. Il a aussi publié un scénario pour les étapes d’atténuation de réécriture d’URL suivantes qui, selon lui, « réussissent à briser les chaînes d’attaque actuelles » –

  • Ouvrir le gestionnaire IIS
  • Sélectionnez le site Web par défaut
  • Dans la vue des fonctionnalités, cliquez sur Réécriture d’URL
  • Dans le volet Actions sur le côté droit, cliquez sur Ajouter une ou plusieurs règles…
  • Sélectionnez Demander le blocage et cliquez sur OK
  • Ajoutez la chaîne « .*autodiscover.json.*@.*Powershell.* » (hors guillemets)
  • Sélectionnez Expression régulière sous Utilisation
  • Sélectionnez Abandonner la demande sous Comment bloquer, puis cliquez sur OK
  • Développez la règle et sélectionnez la règle avec le modèle .*autodiscover.json.*@.*Powershell.* et cliquez sur Modifier sous Conditions.
  • Modifiez l’entrée de condition de {URL} à {REQUEST_URI}

Comme mesures de prévention supplémentaires, la société exhorte les entreprises à appliquer l’authentification multifacteur (MFA), à désactiver authentification héritéeet expliquez aux utilisateurs comment ne pas accepter les invites inattendues d’authentification à deux facteurs (2FA).

« Microsoft Exchange est une cible juteuse à exploiter pour les acteurs de la menace pour deux raisons principales », a déclaré Travis Smith, vice-président de la recherche sur les menaces de logiciels malveillants chez Qualys, à The Hacker News.

« Premièrement, l’échange […] être directement connecté à Internet crée une surface d’attaque accessible de n’importe où dans le monde, augmentant considérablement le risque d’être attaqué. Deuxièmement, Exchange est une fonction essentielle à la mission : les organisations ne peuvent pas simplement débrancher ou désactiver les e-mails sans avoir un impact négatif important sur leur activité. »

Voir aussi :

octobre 3, 2022

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)