Patch d’urgence adresse MS Exchange Server zero-days

Les organisations utilisant des versions sur place de Microsoft Exchange Server risquent d’être la cible d’attaques visant trois exploits de jour zéro nouvellement divulgués, qui sont déjà exploités par des acteurs malveillants associés à l’État chinois.

Les trois vulnérabilités, attribuées cve-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065 permettent aux acteurs de la menace d’accéder aux comptes de messagerie des victimes et d’installer des logiciels malveillants pour accéder à long terme à leurs environnements plus larges. Selon le Threat Intelligence Center (MSTIC) de Microsoft, la campagne est attribuée avec un haut degré de confiance à un groupe connu sous le nom de Hafnium.

Le groupe Hafnium advanced persistent threat (APT) cible principalement des organisations aux États-Unis et, dans le passé, a touché des organismes de recherche médicale, des cabinets d’avocats, des universités, des entrepreneurs en défense, des groupes de réflexion politiques et des organisations non gouvernementales (ONG). Bien que basée en Chine, elle opère à partir d’une infrastructure de serveur privé virtuel loué (VPS) située aux États-Unis.

Il a déjà compromis les victimes par des vulnérabilités dans les serveurs orientés vers Internet en utilisant des frameworks open source légitimes – tels que Covenant – pour le commandement et le contrôle (C2). Une fois à l’intérieur du réseau de leur victime, Hafnium exfiltre généralement les données vers les sites de partage de fichiers.

« À ce jour, Hafnium est l’acteur principal que nous avons vu utiliser ces exploits », a déclaré le vice-président de Microsoft de la sécurité des clients et de la confiance, Tom Burt, dans un billet de blog.

« Les attaques comprenaient trois étapes. Tout d’abord, il aurait accès à un serveur exchange soit avec des mots de passe volés ou en utilisant les vulnérabilités jusque-là inconnues pour se déguiser en quelqu’un qui devrait avoir accès. Deuxièmement, il créerait ce qu’on appelle un shell Web pour contrôler le serveur compromis à distance. Troisièmement, il utiliserait cet accès à distance – géré à partir des serveurs privés basés aux États-Unis – pour voler des données du réseau d’une organisation.

« Nous nous concentrons sur la protection des clients contre les exploits utilisés pour mener ces attaques », a déclaré M. Burt. « Aujourd’hui, nous avons publié des mises à jour de sécurité qui protégeront les clients exécutant Exchange Server. Nous encourageons fortement tous les clients d’Exchange Server à appliquer ces mises à jour immédiatement.

« Exchange Server est principalement utilisé par les clients d’affaires, et nous n’avons aucune preuve que les activités de Hafnium ciblaient les consommateurs individuels ou que ces exploits ont un impact sur d’autres produits Microsoft. »

« Même si nous avons travaillé rapidement pour déployer une mise à jour pour les exploits de Hafnium, nous savons que de nombreux acteurs et groupes criminels de l’État-nation agiront rapidement pour tirer parti de tous les systèmes non patchés. Appliquer rapidement les correctifs d’aujourd’hui est la meilleure protection contre cette attaque », a-t-il ajouté.

Charles Carmakal, vice-président principal et directeur de la technologie de FireEye Mandiant, a déclaré : « FireEye a observé ces vulnérabilités exploitées dans la nature et nous travaillons activement avec plusieurs organisations touchées. En plus de patcher dès que possible, nous recommandons aux organisations de revoir également leurs systèmes pour trouver des preuves d’exploitation qui auraient pu se produire avant le déploiement des correctifs.

Satnam Narang, ingénieur de recherche du personnel chez Tenable, a déclaré que le fait que Microsoft ait choisi de précipiter un patch hors bande, plutôt que d’attendre la chute de Mars Patch mardi, a suggéré que les vulnérabilités étaient très dangereuses.

« D’après ce que nous savons jusqu’à présent, l’exploitation de l’une des quatre vulnérabilités ne nécessite aucune authentification et peut être utilisée pour télécharger des messages à partir de la boîte aux lettres d’un utilisateur ciblé. Les autres vulnérabilités peuvent être enchaînées par un acteur de la menace déterminé pour faciliter un nouveau compromis sur le réseau de l’organisation ciblée », a déclaré Narang.

« Nous nous attendons à ce que d’autres acteurs de la menace commencent à tirer parti de ces vulnérabilités dans les jours et les semaines à venir, c’est pourquoi il est d’une importance cruciale pour les organisations qui utilisent Exchange Server d’appliquer ces correctifs immédiatement. »

Exploiter les vulnérabilités

Il a également noté des recherches de l’Eset, qui suggèrent qu’un certain nombre d’autres groupes apt en dehors de Hafnium exploitent les vulnérabilités des organisations cibles à l’échelle mondiale.

Les quatre CVE fonctionnent comme suit : -26855 est une vulnérabilité de demande côté serveur qui permet à un attaquant d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que serveur Exchange ; -26857 est une vulnérabilité de deserialisation non sécurisée dans le service de messagerie unifiée, qui permet à un attaquant d’exécuter le code en tant que SYSTÈME sur le serveur Exchange, et nécessite des droits d’administration ou une autre vulnérabilité à exploiter; et enfin, -26858 et -27065 sont à la fois post-authentification arbitraire fichier écrire des vulnérabilités qui permettent à un attaquant d’écrire un fichier à n’importe quel chemin sur le serveur qu’il peut authentifier avec elle, par exemple en exploitant -26855 ou en utilisant des informations d’identification volées.

Après avoir obtenu l’accès grâce à ces vulnérabilités, Hafnium déploie des obus Web sur les serveurs compromis pour voler des données et effectuer d’autres actions malveillantes.

Microsoft a noté l’assistance des équipes de sécurité de Volexity et Dubex, qui ont signalé différents éléments des chaînes d’attaque et ont aidé à l’enquête plus large. « C’est ce niveau de communication proactive et de partage de renseignements qui permet à la communauté de se réunir pour prendre de l’avance sur les attaques avant qu’elles ne se propagent et d’améliorer la sécurité pour tous », a déclaré Microsoft.