Microsoft Exchange sous attaque 0-day, des centaines de milliers de serveurs menacés

Microsoft Exchange Sous Attaque 0 Day, Des Centaines De Milliers De

En un mot : quelques nouvelles vulnérabilités de sécurité menacent plus de 200 000 serveurs Exchange dans le monde. Les coupables, probablement basés en Chine, tentent de diffuser une porte dérobée cryptée télécommandée.

Microsoft Exchange connaît à nouveau un risque de sécurité impliquant des centaines de milliers de serveurs dans le monde. Des acteurs malveillants inconnus exploitent deux nouvelles vulnérabilités dans le but d’installer une porte dérobée cryptée jamais vue auparavant dans la nature. Les pirates sont soupçonnés d’être basés en Chine.

Les nouvelles failles zero-day ont été découvertes pour la première fois par la société de sécurité vietnamienne GTSC lorsque des chercheurs ont détecté des webshells malveillants sur les réseaux des clients liés à une vulnérabilité du logiciel Exchange. Au début, l’exploit ressemblait au tristement célèbre ProxyShell zero-day de 2021 (CVE-2021-34473), mais les chercheurs ont découvert plus tard que la nouvelle faille était encore inconnue.

Microsoft a ensuite confirmé l’analyse GTSC mettant en évidence deux nouvelles failles dans la plate-forme de messagerie populaire de l’entreprise : CVE-2022-41040, une vulnérabilité de falsification côté serveur, et CVE-2022-41082, qui permet l’exécution de code à distance via PowerShell. Microsoft a enregistré une « activité limitée » liée à des attaques ciblées exploitant les deux failles zero-day. Les pirates exploitent CVE-2022-41040 pour déclencher à distance CVE-2022-41082, même si Redmond assure qu’une intrusion réussie nécessite des informations d’identification valides pour au moins un utilisateur de messagerie sur le serveur affecté.

Ars Technica note que plus de 200 000 serveurs Exchange pourraient être vulnérables aux nouvelles attaques, plus un millier d’autres dans des configurations hybrides. Les menaces concernent les versions sur site du serveur Exchange, tandis que les serveurs hébergés sur la plate-forme cloud de Microsoft devraient être sûrs. Les configurations hybrides, où les clients utilisent une combinaison de serveurs sur site et distants, sont aussi vulnérables que les configurations autonomes, mais ne comprennent qu’une fraction des appareils concernés.

Les webshells trouvés par GTSC sur des serveurs compromis contiennent des caractères chinois simplifiés, de sorte que les chercheurs pensent que les cybercriminels inconnus pourraient être des pirates informatiques basés à Pékin et parrainés par la dictature chinoise. En fin de compte, les pirates utilisent les failles zero-day pour installer une nouvelle porte dérobée conçue pour émuler Exchange Web Service.

Compte tenu du risque élevé et du grand nombre de cibles potentielles, Microsoft travaille déjà sur un éventuel correctif hors bande pour corriger les nouvelles failles dès que possible. Pendant ce temps, Redmond recommande vivement aux clients d’Exchange d’appliquer des mesures d’atténuation, notamment un blocage du trafic Internet via le port HTTP 5985 et le port HTTPS 5986.

« Les clients d’Exchange Online n’ont rien à faire », a déclaré la société.