Quel attaquant a besoin de risquer de dévoiler une faille 0-day alors que les cibles laissent des bugs critiques d’Exchange non corrigés pendant des mois ?
Microsoft met en garde les organisations qui utilisent les serveurs de messagerie Exchange, les appelant à s’assurer de la sécurité de leur système. La société explique avoir observé un pic massif d’attaques hautement sophistiquées en avril.
L’alerte de la société détaille la manière dont les cyberattaquants utilisent des logiciels libres disponibles gratuitement et une vulnérabilité connue et critique pour attaquer les serveurs de messagerie Exchange – l’une des sources d’informations les plus précieuses dans toute organisation.
Exchange est attaqué depuis des mois par plusieurs groupes proches de gouvernements, qui visent ces serveurs grâce à une faille de sécurité Exchange particulièrement désagréable (CVE-2020-0688.) Les attaques ont commencé peu de temps après que Microsoft ait proposé des correctifs, en février.
La faille en question provient du fait que tous les serveurs de messagerie Exchange commercialisés au cours de la dernière décennie utilisaient des clés cryptographiques identiques pour le back-end du panneau de contrôle. Cela permettait aux attaquants distants d’y exécuter des logiciels malveillants et de prendre le contrôle total du serveur pour accéder à la messagerie d’une cible.
Mais de nombreuses organisations ont ignoré l’avertissement de Microsoft pour corriger le bug en question. En avril, des chercheurs en sécurité ont averti que plus de 350 000 serveurs Exchange présentant cette vulnérabilité étaient exposés sur internet.
Une faille connue de longue date
« Supprimez tout et corrigez immédiatement cette vulnérabilité », avait alors averti Jonathan Cran, responsable de la recherche chez Kenna Security.
Microsoft affirme que la façon la plus courante de compromettre les serveurs Exchange consiste à utiliser des attaques de phishing ou des attaques sur les failles du bureau et à partir de là se déplacer au sein de l’organisation pour accéder à un serveur Exchange – le système principal hébergeant les communications par courrier électronique d’une cible.
Mais en avril, la société a vu une augmentation des attaques exploitant une vulnérabilité d’exécution de code à distance particulière affectant le composant Internet Information Service (IIS) d’un serveur Exchange.
« Le premier scénario est plus courant, mais nous constatons une augmentation des attaques de la deuxième variété ; en particulier, les attaques qui exploitent les vulnérabilités d’Exchange comme CVE-2020-0688 », a déclaré Hardik Suri de l’équipe de recherche Microsoft Defender ATP.
« La mise à jour de sécurité qui corrige cette vulnérabilité est disponible depuis plusieurs mois, mais les attaquants trouvent encore aujourd’hui des serveurs vulnérables à cibler. Dans de nombreux cas, une fois que les attaquants ont accédé à un serveur Exchange, ce qui suit est le déploiement d’un shell web dans l’un des nombreux chemins d’accès web sur le serveur. »
Ce nouvel avertissement de Microsoft intervient une semaine après que le gouvernement australien a sonné l’alarme concernant les attaques en cours contre des organisations dans le pays.
Un mode operatoire également connu
L’avis du Australian Cyber Security Centre (ACSC) ne met pas en évidence l’utilisation de CVE-2020-0688, mais détaille des techniques similaires à celles décrites par Microsoft pour les attaques contre les serveurs de messagerie IIS et Exchange.
Dans les deux cas, les attaquants ont implanté un code de porte dérobée de shell Web sur les parties accessibles sur internet d’Exchange, comme la page de connexion pour Outlook sur le web, anciennement Outlook Web Access.
Selon Microsoft, il y a eu plusieurs campagnes simultanées expliquant la recrudescence des attaques Exchange en avril. La plupart utilisent des shell web sur des serveurs Exchange connectés à internet pour un accès initial. Les attaquants ont utilisé plusieurs shell Web, mais la plus utilisée était China Chopper.
« La télémétrie a montré des attaquants opérant sur des serveurs Exchange locaux utilisant des shells web déployés », explique Hardik Suri. « Chaque fois que des attaquants interagissent avec le shell web, le pool d’applications piratées exécutent la commande au nom de l’attaquant, générant une chaîne de processus intéressante. Des services communs, par exemple Outlook sur le web (anciennement appelé Outlook Web App ou OWA) ou le centre d’administration Exchange (EAC, anciennement connu sous le nom de Panneau de configuration Exchange ou ECP), exécutant net.exe, cmd.exe et autres outils fréquemment utilisés dans le cadre d’attaques, (LOLBins) comme mshta.exe, sont très suspects et devraient faire l’objet d’une enquête plus approfondie », avertit Hardik Suri.
Après avoir déployé un shell web, les attaquants explorent le domaine cible et, lorsqu’un serveur mal configuré a été trouvé, ils ajoutent de nouveaux comptes à des groupes à privilèges élevés tels que les administrateurs, les utilisateurs de bureau à distance et les administrateurs d’entreprise.
Cela offre aux attaquants « un accès illimité à tous les utilisateurs ou groupes de l’organisation ». Par la suite, les informations d’identification de ces comptes ont été ciblées à l’aide d’outils Windows natifs pour vider la mémoire LSASS (Local Security Authority Subsystem Service) – un service clé pour gérer l’authentification dans les domaines Active Directory – et les télécharger sur un serveur distant pour décrypter les données.
Utilisation de logiciels open source
Pour gagner en persistance sur une machine purement en mémoire, ou sans laisser de traces sur le disque dur, les attaquants se sont tournés vers des logiciels open source. Sur les systèmes configurés pour détecter l’outil de récupération d’identifiants open source Mimikatz, les attaquants ont utilisé une version modifiée placée dans un wrapper écrit dans le langage de programmation Go.
« Le binaire utilisait la bibliothèque open source MemoryModule pour charger le binaire à l’aide d’une injection de DLL réfléchissante. Ainsi, la charge utile n’a jamais touché le disque et n’était présente qu’en mémoire, ce qui a permis une persistance sans fichier », note Hardik Suri.
Les attaquants ont également tenté de désactiver Microsoft Defender Antivirus et de désactiver l’analyse des archives pour protéger les fichiers .zip et les outils de compression comme rar.exe, une méthode utilisée pour voler les fichiers .pst et les dumps mémoire.
Hardik Suri recommande aux organisations d’appliquer les mises à jour disponibles, d’activer l’authentification multi-facteurs et de s’assurer sur les machines Windows 10 que la protection anti-altération est activée pour empêcher les attaquants de désactiver l’antivirus.
Il a également suggéré aux organisations d’examiner les groupes hautement privilégiés tels que les administrateurs, les utilisateurs de bureau à distance et les administrateurs d’entreprise. Les équipes de sécurité doivent également appliquer le principe du moindre privilège et prioriser les alertes indiquant des activités suspectes sur les serveurs Exchange.
Les organisations soumises à ces types d’attaques pourraient probablement bénéficier des capacités ATP de Microsoft Defender telles que la surveillance comportementale d’IIS et d’Exchange.
Source : Microsoft : patchez vos serveurs Exchange, ils sont attaqués