fbpx
Microsoft : patchez vos serveurs Exchange, ils sont attaqués

Microsoft : patchez vos serveurs Exchange, ils sont attaqués

Quel attaquant a besoin de risquer de dĂ©voiler une faille 0-day alors que les cibles laissent des bugs critiques d’Exchange non corrigĂ©s pendant des mois ?

Microsoft met en garde les organisations qui utilisent les serveurs de messagerie Exchange, les appelant Ă  s’assurer de la sĂ©curitĂ© de leur système. La sociĂ©tĂ© explique avoir observĂ© un pic massif d’attaques hautement sophistiquĂ©es en avril.

L’alerte de la sociĂ©tĂ© dĂ©taille la manière dont les cyberattaquants utilisent des logiciels libres disponibles gratuitement et une vulnĂ©rabilitĂ© connue et critique pour attaquer les serveurs de messagerie Exchange – l’une des sources d’informations les plus prĂ©cieuses dans toute organisation.

Exchange est attaqué depuis des mois par plusieurs groupes proches de gouvernements, qui visent ces serveurs grâce à une faille de sécurité Exchange particulièrement désagréable (CVE-2020-0688.) Les attaques ont commencé peu de temps après que Microsoft ait proposé des correctifs, en février.

La faille en question provient du fait que tous les serveurs de messagerie Exchange commercialisĂ©s au cours de la dernière dĂ©cennie utilisaient des clĂ©s cryptographiques identiques pour le back-end du panneau de contrĂ´le. Cela permettait aux attaquants distants d’y exĂ©cuter des logiciels malveillants et de prendre le contrĂ´le total du serveur pour accĂ©der Ă  la messagerie d’une cible.

Mais de nombreuses organisations ont ignorĂ© l’avertissement de Microsoft pour corriger le bug en question. En avril, des chercheurs en sĂ©curitĂ© ont averti que plus de 350 000 serveurs Exchange prĂ©sentant cette vulnĂ©rabilitĂ© Ă©taient exposĂ©s sur internet.

Une faille connue de longue date

« Supprimez tout et corrigez immédiatement cette vulnérabilité », avait alors averti Jonathan Cran, responsable de la recherche chez Kenna Security.

Microsoft affirme que la façon la plus courante de compromettre les serveurs Exchange consiste Ă  utiliser des attaques de phishing ou des attaques sur les failles du bureau et Ă  partir de lĂ  se dĂ©placer au sein de l’organisation pour accĂ©der Ă  un serveur Exchange – le système principal hĂ©bergeant les communications par courrier Ă©lectronique d’une cible.

Mais en avril, la sociĂ©tĂ© a vu une augmentation des attaques exploitant une vulnĂ©rabilitĂ© d’exĂ©cution de code Ă  distance particulière affectant le composant Internet Information Service (IIS) d’un serveur Exchange.

« Le premier scĂ©nario est plus courant, mais nous constatons une augmentation des attaques de la deuxième variĂ©té ; en particulier, les attaques qui exploitent les vulnĂ©rabilitĂ©s d’Exchange comme CVE-2020-0688 », a dĂ©clarĂ© Hardik Suri de l’Ă©quipe de recherche Microsoft Defender ATP.

« La mise Ă  jour de sĂ©curitĂ© qui corrige cette vulnĂ©rabilitĂ© est disponible depuis plusieurs mois, mais les attaquants trouvent encore aujourd’hui des serveurs vulnĂ©rables Ă  cibler. Dans de nombreux cas, une fois que les attaquants ont accĂ©dĂ© Ă  un serveur Exchange, ce qui suit est le dĂ©ploiement d’un shell web dans l’un des nombreux chemins d’accès web sur le serveur. »

Ce nouvel avertissement de Microsoft intervient une semaine après que le gouvernement australien a sonnĂ© l’alarme concernant les attaques en cours contre des organisations dans le pays.

Un mode operatoire Ă©galement connu

L’avis du Australian Cyber ​​Security Centre (ACSC) ne met pas en évidence l’utilisation de CVE-2020-0688, mais détaille des techniques similaires à celles décrites par Microsoft pour les attaques contre les serveurs de messagerie IIS et Exchange.

Dans les deux cas, les attaquants ont implantĂ© un code de porte dĂ©robĂ©e de shell Web sur les parties accessibles sur internet d’Exchange, comme la page de connexion pour Outlook sur le web, anciennement Outlook Web Access.

Selon Microsoft, il y a eu plusieurs campagnes simultanées expliquant la recrudescence des attaques Exchange en avril. La plupart utilisent des shell web sur des serveurs Exchange connectés à internet pour un accès initial. Les attaquants ont utilisé plusieurs shell Web, mais la plus utilisée était China Chopper.

« La tĂ©lĂ©mĂ©trie a montrĂ© des attaquants opĂ©rant sur des serveurs Exchange locaux utilisant des shells web dĂ©ployĂ©s », explique Hardik Suri. « Chaque fois que des attaquants interagissent avec le shell web, le pool d’applications piratĂ©es exĂ©cutent la commande au nom de l’attaquant, gĂ©nĂ©rant une chaĂ®ne de processus intĂ©ressante. Des services communs, par exemple Outlook sur le web (anciennement appelĂ© Outlook Web App ou OWA) ou le centre d’administration Exchange (EAC, anciennement connu sous le nom de Panneau de configuration Exchange ou ECP), exĂ©cutant net.exe, cmd.exe et autres outils frĂ©quemment utilisĂ©s dans le cadre d’attaques, (LOLBins) comme mshta.exe, sont très suspects et devraient faire l’objet d’une enquĂŞte plus approfondie », avertit Hardik Suri.

Après avoir dĂ©ployĂ© un shell web, les attaquants explorent le domaine cible et, lorsqu’un serveur mal configurĂ© a Ă©tĂ© trouvĂ©, ils ajoutent de nouveaux comptes Ă  des groupes Ă  privilèges Ă©levĂ©s tels que les administrateurs, les utilisateurs de bureau Ă  distance et les administrateurs d’entreprise.

Cela offre aux attaquants « un accès illimitĂ© Ă  tous les utilisateurs ou groupes de l’organisation ». Par la suite, les informations d’identification de ces comptes ont Ă©tĂ© ciblĂ©es Ă  l’aide d’outils Windows natifs pour vider la mĂ©moire LSASS (Local Security Authority Subsystem Service) – un service clĂ© pour gĂ©rer l’authentification dans les domaines Active Directory – et les tĂ©lĂ©charger sur un serveur distant pour dĂ©crypter les donnĂ©es.

Utilisation de logiciels open source

Pour gagner en persistance sur une machine purement en mĂ©moire, ou sans laisser de traces sur le disque dur, les attaquants se sont tournĂ©s vers des logiciels open source. Sur les systèmes configurĂ©s pour dĂ©tecter l’outil de rĂ©cupĂ©ration d’identifiants open source Mimikatz, les attaquants ont utilisĂ© une version modifiĂ©e placĂ©e dans un wrapper Ă©crit dans le langage de programmation Go.

« Le binaire utilisait la bibliothèque open source MemoryModule pour charger le binaire Ă  l’aide d’une injection de DLL rĂ©flĂ©chissante. Ainsi, la charge utile n’a jamais touchĂ© le disque et n’Ă©tait prĂ©sente qu’en mĂ©moire, ce qui a permis une persistance sans fichier », note Hardik Suri.

Les attaquants ont Ă©galement tentĂ© de dĂ©sactiver Microsoft Defender Antivirus et de dĂ©sactiver l’analyse des archives pour protĂ©ger les fichiers .zip et les outils de compression comme rar.exe, une mĂ©thode utilisĂ©e pour voler les fichiers .pst et les dumps mĂ©moire.

Hardik Suri recommande aux organisations d’appliquer les mises Ă  jour disponibles, d’activer l’authentification multi-facteurs et de s’assurer sur les machines Windows 10 que la protection anti-altĂ©ration est activĂ©e pour empĂŞcher les attaquants de dĂ©sactiver l’antivirus.

Il a Ă©galement suggĂ©rĂ© aux organisations d’examiner les groupes hautement privilĂ©giĂ©s tels que les administrateurs, les utilisateurs de bureau Ă  distance et les administrateurs d’entreprise. Les Ă©quipes de sĂ©curitĂ© doivent Ă©galement appliquer le principe du moindre privilège et prioriser les alertes indiquant des activitĂ©s suspectes sur les serveurs Exchange.

Les organisations soumises Ă  ces types d’attaques pourraient probablement bĂ©nĂ©ficier des capacitĂ©s ATP de Microsoft Defender telles que la surveillance comportementale d’IIS et d’Exchange.

Source : Microsoft : patchez vos serveurs Exchange, ils sont attaqués

Partagez nous !