Tout ce que vous devez savoir sur le (nouveau) piratage de Micros …

Tout ce que vous devez savoir sur le (nouveau) piratage de Micros ...


Bien qu’ils n’aient pas la même ampleur que le piratage de Microsoft Exchange Server en 2021, les problèmes de sécurité affectant Exchange Server sont réapparus.

Lors du cycle mensuel de patch de mars 2024, Microsoft a résolu des problèmes critiques dans des logiciels tels que HyperV et Exchange Server. Ces correctifs font suite à la publication de la mise à jour 2024 H1 Cumulative Update pour Exchange Server en février.

La mise à jour cumulative 2024 H1 comprend l’activation par défaut de la fonction Extended Protection (EP). EP est une fonctionnalité de Windows qui protège les serveurs contre les attaques de type « man-in-the-middle » (MiTM). L’inclusion automatique d’EP a été annoncée pour la première fois en 2023.

La mise à jour de sécurité peut aider à résoudre CVE-2024-21410, une vulnérabilité d’escalade de privilèges menant à des attaques de relais NTLM qui affecte Exchange Server. Cette vulnérabilité est exploitée.

« Un attaquant pourrait cibler un client NTLM tel qu’Outlook avec une vulnérabilité de type fuite d’informations d’identification NTLM », explique Microsoft. « Les informations d’identification divulguées peuvent ensuite être relayées contre le serveur Exchange pour obtenir des privilèges en tant que client victime et pour effectuer des opérations sur le serveur Exchange au nom de la victime.

La CVE-2024-21410 a été révélée dans la mise à jour des correctifs de Microsoft de février 2024.

Et voici l’article publié sur le sujet en 2021 : Microsoft Exchange : Tout savoir sur la campagne d’attaques en cours

Que s’est-il passé ?

Le 2 mars, Microsoft a publié des correctifs visant à corriger quatre vulnérabilités graves du logiciel Microsoft Exchange Server. La société affirmait alors que les bugs étaient activement exploités dans le cadre « d’attaques limitées et ciblées ».

Microsoft Exchange Server est une solution de messagerie électronique, de calendrier et de collaboration. Ses utilisateurs vont des grands comptes aux petites et moyennes entreprises du monde entier.

Bien que les correctifs aient été publiés, l’ampleur des compromissions dépend de la vitesse d’adoption des correctifs – et le nombre de victimes estimé continue d’augmenter.

Quelles sont les vulnérabilités et pourquoi sont-elles importantes ?

Ces vulnérabilités critiques ont un impact sur les serveurs Exchange 2013, Exchange Server 2016 et Exchange Server 2019. Cependant, Exchange Online n’est pas affecté.

  • CVE-2021-26855 : CVSS 9.1 : une vulnérabilité de type SSRF (Server Side Request Forgery) permettant l’envoi de requêtes HTTP par des attaquants non authentifiés. Les serveurs doivent pouvoir accepter des connexions non fiables sur le port 443 pour que le bug soit exploité.
  • CVE-2021-26857 : CVSS 7.8 : une vulnérabilité de désérialisation non sécurisée dans le service de messagerie unifiée Exchange, qui permet le déploiement de code arbitraire avec des privilèges SYSTEM. Cependant, cette vulnérabilité doit être combinée avec une autre ou des identifiants volées doivent être utilisés.
  • CVE-2021-26858 : CVSS 7.8 : une vulnérabilité qui permet d’uploader des fichiers sur le système, utilisée notamment pour installer un web shell sur les serveurs compromis.
  • CVE-2021-27065 : CVSS 7.8 : une vulnérabilité qui permet d’uploader des fichiers sur le système, utilisée notamment pour installer un web shell sur les serveurs compromis.

Si elles sont utilisées conjointement, toutes ces vulnérabilités peuvent conduire à l’exécution de code à distance, à la compromission du serveur, à l’installation de portes dérobées, au vol de données et potentiellement à un déploiement ultérieur de logiciels malveillants.

Microsoft indique que les attaquants sécurisent l’accès à un serveur Exchange soit en exploitant ces bugs, soit en utilisant des identifiants volés, et qu’ils peuvent ensuite créer un web shell pour compromettre le système et exécuter des commandes à distance. « Ces vulnérabilités sont utilisées dans le cadre d’une chaîne d’attaque », explique Microsoft. « L’attaque initiale nécessite la capacité d’établir une connexion non fiable au port 443 du serveur Exchange. Il est possible de s’en prémunir en limitant les connexions non fiables ou en mettant en place un VPN pour séparer le serveur Exchange de tout accès externe. L’utilisation de cette mesure ne protégera que contre la partie initiale de l’attaque ; d’autres parties de la chaîne peuvent être déclenchées si un attaquant a déjà un accès ou parvient à convaincre un administrateur d’exécuter un fichier malveillant. »

Qui est responsable des attaques ?

Microsoft affirme que des attaques utilisant ces failles ont été attribuées au groupe Hafnium.

Hafnium est un groupe malveillant persistant et avancé (APT) lié à l’Etat chinois, que la société décrit comme un « acteur hautement qualifié et sophistiqué ».

Si Hafnium est originaire de Chine, le groupe utilise un réseau de serveurs privés virtuels (VPS) situés aux Etats-Unis pour tenter de dissimuler sa véritable localisation. Les entités précédemment ciblées par le groupe comprennent des think tank, des organisations à but non lucratif, des entreprises du secteur de la défense et des chercheurs.

Juste Hafnium ?

Lorsque des vulnérabilités « zero-day » sont mises en évidence sur des logiciels populaires et que des correctifs de sécurité d’urgence sont publiés, les ramifications peuvent être massives. L’application des correctifs peut être retardée par de nombreux facteurs : la société peut ne pas être au courant de l’existence des correctifs, ne pas savoir qu’elle utilise le logiciel visé, ou encore ne pas pouvoir mettre à jour en raison de problèmes de compatibilité.

Selon Volexity, les attaques utilisant ces failles zero-day pourraient avoir commencé dès le 6 janvier 2021.

Selon Mandiant, les attaques contre des cibles américaines concernent des organismes gouvernementaux locaux, une université, une société d’ingénierie et des détaillants. La société de cybersécurité pense que les vulnérabilités pourraient être utilisées à des fins de déploiement de rançongiciels et de vol de données.

Des victimes multiples

Des sources ont indiqué à Brian Krebs, expert en cybersécurité, qu’environ 30 000 organisations ont été piratées jusqu’à présent aux Etats-Unis. Bloomberg estime que ce chiffre est plus proche de 60 000, au 8 mars.

L’Autorité bancaire européenne est l’une des dernières victimes à s’être déclarée. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) souligne que l’agence est « consciente que des acteurs malveillants utilisent des outils open source pour rechercher les serveurs Microsoft Exchange vulnérables ».

Dans une mise à jour du 5 mars, Microsoft note que la société « continue de constater une utilisation accrue de ces vulnérabilités dans les attaques ciblant des systèmes non patchés par de multiples acteurs malveillants, bien au-delà de Hafnium ».

L’administration Biden devrait former un groupe de travail pour explorer les liens signalés entre les attaques de Microsoft Exchange et la Chine, selon CNN.

Comment puis-je vérifier mes serveurs et leur vulnérabilité ? Que dois-je faire maintenant ?

Microsoft a demandé aux administrateurs et aux clients d’appliquer immédiatement les correctifs de sécurité. Toutefois, le fait que les correctifs soient appliqués maintenant ne signifie pas que les serveurs n’ont pas déjà été compromis auparavant. Des options alternatives sont également disponibles si l’application immédiate des correctifs n’est pas possible.

Le géant de Redmond a également publié un script sur GitHub, que les administrateurs informatiques peuvent utiliser et qui comprend des indicateurs de compromission (IOC) liés aux quatre vulnérabilités. Les IOC sont répertoriés séparément ici.

Le 3 mars, la CISA a publié une directive d’urgence qui demandait aux agences fédérales d’analyser immédiatement tout serveur fonctionnant sous Microsoft Exchange et d’appliquer les correctifs fournis par l’entreprise. Si des indicateurs suspects sont détectés, en remontant jusqu’au 1er septembre 2020, la CISA exige des agences qu’elles déconnectent les appareils concernés d’internet afin de limiter le risque de nouveaux dommages.

Microsoft continue d’enquêter et nous ferons une mise à jour au fur et à mesure que des informations supplémentaires seront disponibles.

Source : ZDNet.com



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.