Une grave panne de Microsoft Exchange met 220 000 serveurs en danger

Une Grave Panne De Microsoft Exchange Met 220 000 Serveurs

Microsoft a confirmé jeudi soir l’existence de deux vulnérabilités critiques dans son application Exchange. Ceux-ci ont déjà compromis plusieurs serveurs et représentent un risque sérieux pour quelque 220 000 autres dans le monde.

Les failles de sécurité actuellement non corrigées ont été activement exploitées depuis début août. Ensuite, la société de sécurité basée au Vietnam GTSC a découvert que les réseaux des clients avaient été infectés par des webshells malveillants. Le point d’entrée initial étant une sorte de vulnérabilité Exchange. Le mystérieux exploit était presque identique à un Exchange ZeroDay de 2021 appelé ProxyShell. Mais tous les serveurs clients avaient été corrigés contre la vulnérabilité, qui est suivie comme CVE-2021-34473. Enfin, les chercheurs ont découvert que des pirates inconnus exploitaient une nouvelle vulnérabilité Exchange.

Exchange : Webshells, portes dérobées et faux sites

« Après avoir maîtrisé avec succès l’exploit, nous avons enregistré les attaques pour recueillir des informations et prendre pied sur le système de la victime. » Les chercheurs ont écrit dans un article publié mercredi. « L’équipe d’attaque a également utilisé diverses techniques pour créer des portes dérobées dans le système affecté. Effectuer des déplacements latéraux vers d’autres serveurs du système.

Jeudi soir, Microsoft a confirmé que les vulnérabilités étaient nouvelles et a déclaré qu’il se précipitait pour développer et publier un correctif. Les nouvelles vulnérabilités sont : CVE-2022-41040, une vulnérabilité de contrefaçon de requête côté serveur, et CVE-2022-41082, qui permet l’exécution de code à distance lorsque PowerShell est accessible à l’attaquant.

« À l’heure actuelle, Microsoft est au courant d’attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs »ont écrit les membres de l’équipe Microsoft Security Response Center. « Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié d’activer à distance CVE-2022-41082. » Les membres de l’équipe ont souligné que des informations d’identification valides sont nécessaires pour que les attaques réussissent. Pour au moins un utilisateur de messagerie sur le serveur.

La vulnérabilité affecte les serveurs Exchange sur site et, à proprement parler, pas le service Exchange hébergé de Microsoft. La grande mise en garde est que de nombreuses organisations utilisant l’offre cloud de Microsoft choisissent une option qui utilise un mélange de matériel cloud et sur site. Ces environnements hybrides sont tout aussi vulnérables que les environnements locaux.

Une attaque qui pourrait venir de Chine

Le message GTSC de mercredi indique que les attaquants exploitent la vulnérabilité pour infecter les serveurs avec des webshells. Une interface texte qui leur permet d’émettre des commandes. Ces webshells contiennent des caractères chinois simplifiés, ce qui conduit les chercheurs à supposer que les pirates maîtrisent le chinois. Les commandes émises portent également la signature de China Chopper. Webshell couramment utilisé par les pirates parlant chinois. Y compris plusieurs groupes de menace persistante avancés connus pour être soutenus par la République populaire de Chine.

Le GTSC a ajouté que les logiciels malveillants que les acteurs de la menace finissent par installer émulent le service Web Exchange de Microsoft. Il établit également une connexion avec l’adresse IP 137[.]184[.]67[.]33, qui est codé en binaire. L’enquêteur indépendant Kevin Beaumont a déclaré que l’adresse héberge un faux site Web avec un seul utilisateur avec une connexion d’une minute et n’est active que depuis août.

Le logiciel malveillant envoie et reçoit des données cryptées avec une clé de cryptage RC4 générée lors de l’exécution. Beaumont a ajouté que le logiciel malveillant de porte dérobée semble être nouveau, ce qui indique que c’est la première fois qu’il est utilisé dans la nature.

Les utilisateurs de serveurs Exchange sur site doivent prendre des mesures immédiates. Plus précisément, ils doivent appliquer une règle de blocage qui empêche les serveurs d’accepter des modèles d’attaque connus. La règle peut être appliquée en allant à « Gestionnaire IIS -> Site Web par défaut -> Réécriture d’URL -> Actions ». Pour l’instant, Microsoft recommande également de bloquer le port HTTP 5985 et le port HTTPS 5986, dont les attaquants ont besoin pour exploiter CVE-2022-41082.