Mandiant: ms exchange bugs exploités pour la première fois en Janvier

Les acteurs malveillants abusaient de quatre vulnérabilités divulguées cette semaine dans des instances sur place de Microsoft Exchange Server dès janvier 2021, selon un nouveau rapport produit par les chercheurs de FireEye Mandiant Matt Bromiley, Chris DiGiamo, Andrew Thompson et Robert Wallace.

Divulguée plus tôt cette semaine en même temps qu’un patch hors séquence, l’exploitation des quatre vulnérabilités, l’une jugée critique et l’autre moyenne, a été liée par Microsoft à un groupe chinois avancé de menace persistante (APT) connu sous le nom de Hafnium, bien qu’il existe déjà des preuves abondantes suggérant que l’exploitation des CV va bien au-delà d’un groupe.

Dans le rapport de Mandiant, les chercheurs ont déclaré avoir observé de multiples cas d’abus dans au moins un environnement client, avec une activité observée, y compris la création d’obus Web pour obtenir un accès persistant, l’exécution de code à distance (RCE), et la reconnaissance pour les solutions de sécurité de point de terminaison de FireEye, Carbon Black et CrowdStrike.

« L’activité signalée par Microsoft s’aligne sur nos observations. FireEye suit actuellement cette activité en trois groupes, unC2639, UNC2640 et UNC2643 », ont déclaré Bromiley, DiGiamo, Thompson et Wallace dans un blog de divulgation.

« Nous prévoyons d’autres grappes au fur et à mesure que nous répondons aux intrusions. Nous vous recommandons de suivre immédiatement les conseils de Microsoft et de patcher Exchange Server pour atténuer cette activité.

Comme d’autres chercheurs qui ont suivi l’exploitation, l’équipe a déclaré que le nombre de victimes était probablement beaucoup plus élevé que Microsoft a dit – il les avait décrits comme ciblés et limités, mais cela est maintenant très contesté.

« Sur la base de notre télémétrie, nous avons identifié un éventail de victimes touchées, y compris des détaillants basés aux États-Unis, des gouvernements locaux, une université et une firme d’ingénierie. Les activités connexes peuvent également inclure un gouvernement de l’Asie du Sud-Est et des télécommunications d’Asie centrale », ont-ils déclaré.

L’équipe a corroboré l’évaluation par Microsoft de multiples activités post-exploitation, y compris le vol d’informations d’identification, la compression des données pour l’exfiltration, l’utilisation de snap-ins Exchange PowerShell pour voler des données de boîte aux lettres, et l’utilisation d’autres cyber-outils offensants tels que Covenant, Nishang et PowerCat pour l’accès à distance.

« L’activité que nous avons observée, associée à d’autres acteurs de l’industrie de la sécurité de l’information, indique que ces acteurs de la menace utilisent probablement les vulnérabilités d’Exchange Server pour s’implanter dans des environnements. Cette activité est suivie rapidement d’un accès supplémentaire et de mécanismes persistants. Nous avons plusieurs cas en cours et nous continuerons de fournir un aperçu à mesure que nous réagirons aux intrusions », ont-ils déclaré.

Pendant ce temps, plus de groupes ont été observés s’empilant dans le sillage de Hafnium, avec beaucoup d’entre eux tirant parti de la coquille web China Chopper, une porte dérobée qui permet aux acteurs malveillants de prendre le contrôle à distance du système compromis et de mener d’autres activités post-exploitation. Notamment, China Chopper contient une interface GUI qui permet à l’utilisateur de gérer et de contrôler les commandes d’attaque de shell web.

Selon Max Malyutin de Cynet, ceux qui l’utilisent incluent le Léviathan, étroitement associé à APT40; Threat Group-3390, alias Emissary Panda, Bronze Union ou Iron Tiger; Soft Cell (pas le duo synth-pop); et APT41. Tous ces groupes sont considérés comme ayant une certaine association avec l’activité originaire de Chine.

Saryu Nayyar, PDG de Gurucul, a déclaré que les attaques en cours nous rappelaient que malgré la croissance stratosphérique de l’utilisation des services cloud, les équipements sur place restent vulnérables et sont trop facilement négligés.

« Avec les organisations qui ont migré en masse vers Microsoft Office 365 au cours des dernières années, il est facile d’oublier que les serveurs Exchange sur place sont toujours en service. Certaines organisations, notamment au gouvernement, ne peuvent pas migrer leurs applications vers le cloud en raison de politiques ou de réglementations, ce qui signifie que nous verrons des serveurs sur place pour un certain temps à venir », a déclaré Nayyar.

« Il s’agit d’un autre cas qui montre à quel point il est vital de suivre les correctifs de sécurité et de s’assurer que la pile de sécurité de l’organisation est à la hauteur de la tâche d’identifier les nouvelles attaques et de les corriger rapidement », a-t-elle ajouté.