Connect with us

Technologie

La moitié des serveurs MS Exchange exposés à la débâcle de ProxyShell

Published

on


Jusqu’à et peut-être plus de 50% des serveurs Microsoft Exchange situés au Royaume-Uni semblent vulnérables à trois vulnérabilités distinctes qui ont été corrigées il y a quelque temps, mais qui sont maintenant activement exploitées dans les attaques dites ProxyShell suite à la divulgation d’exploits techniques à Black Hat USA par le pirate Orange Tsai.

Selon Sky News, outre plusieurs milliers d’entreprises, les organisations à risque au Royaume-Uni comprennent des organismes gouvernementaux et des forces de police. Les trois bogues sont, respectivement, CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207.

Les analystes de Huntress Security ont expliqué que l’attaque enchaîne les vulnérabilités, donnant à un attaquant la possibilité d’effectuer une exécution de code à distance (RCE) non authentifiée. John Hammond de Huntress a déclaré qu’il avait identifié près de 2 000 serveurs vulnérables, bien que cela ait diminué au cours des derniers jours. Il a déclaré que le nombre de serveurs et de rapports compromis de l’entreprise s’élève maintenant à environ 300.

« Nous commençons à voir un comportement post-exploitation composé de coinminers – semble être WannaMine – et de ransomware – LockFile – et nous continuons d’exhorter les organisations à corriger », a déclaré Hammond.

« Nous examinons les fichiers journaux Exchange provenant de serveurs compromis, et nous avons vu une poignée d’adresses IP interagir avec des shells Web pour une post-exploitation ultérieure. La plupart d’entre eux incluent un agent utilisateur (python-requests) qui indique que cela est automatisé, tandis que d’autres incluent un navigateur Web traditionnel qui indique qu’ils ont effectué une interaction manuelle.

« Huntress continuera à partager de nouvelles informations sur les menaces et des indicateurs de compromission tels que nous les trouvons dans notre propre article de blog et notre fil de discussion public Reddit », a-t-il ajouté.

Claire Tills, ingénieure de recherche senior chez Tenable, a déclaré que des acteurs malveillants auraient commencé à analyser Internet à la recherche de serveurs vulnérables dès que Tsai aurait livré leur présentation, et compte tenu de la « popularité » des récentes vulnérabilités proxyLogon – également révélées par Tsai au début – l’exploitation était inévitable.

« Ces vulnérabilités sont probablement populaires en raison de l’omniprésence de Microsoft Exchange – les acteurs de la menace savent qu’ils ont un potentiel plus élevé d’attaques réussies en ciblant des services comme celui-ci. L’ancien succès des attaques tirant parti de ProxyLogon attire également les attaquants vers ProxyShell, en s’appuyant sur des attaques et des tactiques connues pour fonctionner », a-t-elle déclaré.

Échec des communications de crise

Cependant, les problèmes ne doivent pas être considérés comme une mise en accusation pure et simple de tout défaut de correction de la part des utilisateurs à risque, mais comme une défaillance apparente de la communication de Microsoft lui-même.

Au moment de la rédaction de cet article, les faits connus de cette affaire semblent montrer que, bien que Microsoft ait corrigé les deux premières vulnérabilités en avril 2021, il ne les a pas divulguées ni attribué de numéros CVE (Common Vulnerability and Exposure) avant juillet. La troisième vulnérabilité a été corrigée et divulguée dans une mise à jour de mai.

Cela signifie que de nombreux utilisateurs auraient, sans faute de leur part, cru que la mise à jour initiale était triviale et ne l’auraient pas appliquée, alors qu’en fait, les vulnérabilités se sont maintenant révélées beaucoup plus graves. Le chercheur en sécurité Kevin Beaumont, qui suit ProxyShell depuis sa première divulgation, a décrit le message de Microsoft sur les attaques – qu’il a décrit comme pires que ProxyLogon – comme « sciemment horrible ».

Oz Alashe, PDG et fondateur de CybSafe, a convenu que la réponse à ProxyShell laissait beaucoup à désirer. « L’absence de mesures correctives à la suite de l’exposition de ces vulnérabilités doit être une leçon sur l’importance de la messagerie et des comportements de sécurité vigilants », a-t-il déclaré.

« Ces lacunes dans nos défenses apparaîtront toujours, mais ce qui compte, c’est la rapidité et la clarté de la réponse. Toute ambiguïté peut conduire à ce que des mises à jour logicielles vitales ne soient pas déployées et exposer les organisations à des acteurs malveillants et à des attaques de ransomware.

« Avec Gov.uk et la Police.uk parmi les domaines toujours sans la mise à jour nécessaire du serveur de messagerie Microsoft, les conséquences de ne pas résoudre ces vulnérabilités sont claires », a déclaré Alashe. « Maintenir les logiciels à jour est un moyen simple mais très efficace de réduire nos cyberrisques, et les organisations doivent s’assurer qu’elles transmettent son importance avec rapidité et clarté. »

Ian Wood, responsable de la technologie chez Veritas pour le Royaume-Uni et l’Irlande, a ajouté : « La plupart des administrateurs informatiques détestent les correctifs autant que les utilisateurs finaux détestent les mises à niveau logicielles pour leurs appareils – parfois ils ne s’installent pas correctement, parfois ils cassent des choses, et souvent ils sont tout simplement perturbateurs.

« De plus, et ce qui peut être le plus problématique, ils nécessitent une compréhension approfondie de ce qui doit être corrigé, où et quand. Alors que de plus en plus d’attaques de ransomware mènent to la découverte de plus de vulnérabilités et, à son tour, la création de plus de correctifs, il est facile pour l’ensemble de devenir incontrôlable. Il n’est donc pas étonnant que tant de systèmes ne soient pas entièrement corrigés. »

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance