Connect with us

Technologie

Les CVE Microsoft Exchange plus largement exploités qu’on ne le pensait

Published

on


La Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain a publié une directive d’urgence avertissant tous les ministères et organismes civils gouvernementaux qui mettent en place une installation microsoft exchange sur place de mettre à jour ou de déconnecter le produit en tant qu’impact de quatre vulnérabilités nouvellement divulguées – CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065 – spreads.

Le CISA a également appelé les agences américaines à collecter des images médico-légales et à rechercher des indicateurs connus de compromis (OIC) en réponse à l’exploitation active des vulnérabilités, qui ont provoqué un patch hors séquence de Microsoft.

« Cette directive d’urgence nous aidera à protéger les réseaux fédéraux contre la menace immédiate, tandis que l’ACSA travaille avec ses partenaires interinstitutions pour mieux comprendre les techniques et les motivations de l’acteur malveillant à partager avec nos intervenants », a déclaré brandon Wales, directeur par intérim de l’ACS.

« La rapidité avec laquelle la CISA a publié cette directive d’urgence reflète la gravité de cette vulnérabilité et l’importance pour toutes les organisations – au gouvernement et dans le secteur privé – de prendre des mesures pour l’assainir. »

Steve Forbes, expert en sécurité du gouvernement Nominet, a commenté : « La directive de la CISA … pour les organismes de rendre compte de leur niveau d’exposition, d’appliquer des correctifs de sécurité ou de déconnecter le programme, est le dernier d’une série de directives d’urgence de plus en plus régulières que l’agence a émises depuis sa création il y a deux ans.

« Des vulnérabilités comme celles-ci démontrent la nécessité pour ces mesures nationales coordonnées de protection d’atténuer efficacement et efficacement les effets des attaques qui pourraient avoir d’importantes répercussions sur la sécurité nationale », a-t-il déclaré.

La prudence des organisations du secteur public – le National Cyber Security Centre du Royaume-Uni a également émis une alerte – semble bien avisée, car les chercheurs en sécurité et les observateurs du monde entier pèsent sur les vulnérabilités, affirmant qu’elles sont peut-être beaucoup plus largement exploitées que ne le laisserait entendre la divulgation de Microsoft.

« La rapidité avec laquelle la CISA a émis cette directive d’urgence reflète la gravité de cette [Microsoft Exchange] vulnérabilité et l’importance de toutes les organisations – au gouvernement et dans le secteur privé – de prendre des mesures pour l’assainir »

Brandon Pays de Galles, CISA

Alors que Redmond a décrit les attaques comme ciblées et limitées – et probablement provenant d’un acteur chinois soutenu par l’État connu sous le nom de Hafnium dans sa matrice de classification – John Hammond de Huntress Security a déclaré que ses propres analyses avaient identifié plus de 200 des serveurs des partenaires de son entreprise qui avaient reçu des charges utiles de shell Web selon la divulgation de Microsoft.

« Ces entreprises ne s’alignent pas parfaitement sur les conseils de Microsoft, car certaines personnes sont de petits hôtels, une entreprise de crème glacée, une fabrique d’appareils de cuisine, plusieurs communautés de personnes âgées et d’autres entreprises de taille moyenne », a déclaré M. Hammond.

« Nous avons également été témoins de nombreuses victimes du gouvernement des villes et des comtés, de fournisseurs de soins de santé, de banques [and] institutions financières et plusieurs fournisseurs résidentiels d’électricité.

Hammond a déclaré que parmi les serveurs vulnérables ses analyses avaient trouvé plus de 350 shells Web (certains clients peuvent avoir plus d’un) qui indique potentiellement le déploiement automatisé ou plusieurs acteurs non coordonnés. Il a ajouté que les critères d’évaluation observés avaient une détection et une réponse antivirus ou de point de terminaison à bord, mais que les acteurs de la menace semblaient glisser au-delà de la plupart des produits défensifs, ce qui rend le patching encore plus crucial.

« Grâce aux informations de la communauté, nous avons vu des pots de miel attaqués, ce qui nous a clairement indiqué que les acteurs de la menace scrutent Internet à la recherche de fruits à faible pendaison », a-t-il dit.

« Ces attaques sont graves du fait que chaque organisation [relies on] e-mail et Microsoft Exchange est si largement utilisé. Ces serveurs sont généralement accessibles au public sur Internet ouvert et ils peuvent être exploités à distance. Ces vulnérabilités peuvent être exploitées pour obtenir l’exécution du code distant et compromettre complètement la cible. De là, les attaquants ont un pied dans le réseau et peuvent élargir leur accès et faire beaucoup plus de dégâts. »

Katie Nickels, directrice du renseignement de Red Canary, a déclaré qu’elle observait elle aussi des activités liées à l’exploitation des vulnérabilités divulguées, mais qu’il y avait de bonnes nouvelles dans la mesure où, dans ce cas, l’activité post-exploitation est hautement détectable.

« Nous ne pourrons jamais arrêter zéro jour, mais les organisations qui pratiquent la défense en profondeur et maintiennent des analyses comportementales pour alerter sur les attaques courantes devraient avoir confiance en leur capacité à détecter cette activité », a-t-elle déclaré.

« Une partie de l’activité que nous avons observée utilise le China Chopper web shell, qui existe depuis plus de huit ans, donnant aux défenseurs suffisamment de temps pour développer une logique de détection pour elle. [And] alors que nous ne pouvons jamais empêcher pleinement toute exploitation, les défenseurs peuvent travailler à réduire le temps qu’il faut pour identifier les activités post-exploitation. En l’attrapant le plus rapidement possible, ils peuvent empêcher leurs adversaires de prendre pied dans leur environnement et de causer des dommages importants », a-t-elle déclaré.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance