Plus de dix groupes de pirates se jettent sur les failles de sécurité de Microsoft Exchange. ESET a déjà identifié plus de 5.000 XNUMX serveurs de messagerie infectés, principalement en Allemagne.
Les vulnérabilités récemment rendues publiques dans Microsoft Exchange font de plus en plus de vagues. Les chercheurs du fabricant de sécurité informatique ESET ont découvert plus de dix groupes APT (Advanced Persistent Threats) différents, qui exploitent actuellement de plus en plus les vulnérabilités afin de compromettre les serveurs de messagerie et d'accéder aux données de l'entreprise. La menace ne se limite donc pas au groupe chinois de l'hafnium, comme on le pensait auparavant. ESET a identifié environ 5.000 XNUMX serveurs de messagerie d'entreprise et gouvernementaux dans le monde qui ont été compromis. La plupart des cibles des groupes de hackers se trouvent en Allemagne. La télémétrie des experts en sécurité a montré la présence de soi-disant web shells. Ces programmes ou scripts malveillants permettent de contrôler à distance un serveur via un navigateur Web. Les experts informatiques publient une analyse détaillée sur le blog ESET Security welivesecurity.de.
Mises à jour déjà déployées
ESET a immédiatement réagi et a déployé ses analyses des vecteurs d'attaque et des fonctionnalités malveillantes utilisées dans ses solutions de sécurité pour les entreprises via des mises à jour. Avant même que l'exploit ne soit connu, l'exécution de code malveillant, tel qu'un rançongiciel, aurait été détectée par la technologie multicouche des solutions ESET B2B. Les solutions ESET B2B détectent également les attaques de logiciels malveillants telles que les shells Web et les portes dérobées basées sur les exploits connus. Indépendamment de cela, l'installation des mises à jour de sécurité fournies par Microsoft est obligatoire.
Utilisation de systèmes d'alerte précoce recommandée
L'utilisation de solutions dites de détection et de réponse aux terminaux (solutions EDR) aurait pu limiter ou empêcher le vol de données d'entreprise dans de nombreux cas. « Avec l'aide de solutions EDR, comme ESET Enterprise Inspector, les administrateurs auraient été informés des activités suspectes à un stade précoce. De cette manière, la sortie de données d'entreprise aurait pu être enregistrée à un stade précoce, malgré l'exploitation de la faille de sécurité, afin de l'empêcher par des mesures appropriées », explique Michael Schröder, responsable de la stratégie commerciale de sécurité chez ESET Allemagne.
Pour évaluer la posture de sécurité, les serveurs Exchange doivent être vérifiés pour les détections suivantes :
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
L'analyse d'ESET révèle des groupes de cyberespionnage
« Depuis le jour où Microsoft a publié les correctifs Exchange, nous avons vu de plus en plus de pirates analyser en masse et compromettre les serveurs Exchange. Fait intéressant, ce sont tous des groupes APT connus pour leurs activités d'espionnage. Nous sommes sûrs que d'autres groupes, tels que les opérateurs de ransomwares, exploiteront également ces exploits et se joindront à nous », déclare Matthieu Faou, qui dirige les recherches d'ESET sur le sujet. Les chercheurs d'ESET ont également découvert que certains groupes APT exploitaient déjà les vulnérabilités avant que les correctifs ne soient disponibles. "Nous pouvons donc exclure que ces groupes aient créé un exploit en rétro-ingénierie des mises à jour Microsoft", ajoute Faou.
Trois conseils Exchange rapides pour les administrateurs
- Les serveurs Exchange doivent être corrigés dès que possible. Ceci s'applique également s'ils ne sont pas directement connectés à Internet.
- Il est conseillé aux administrateurs de rechercher les webshells et autres activités malveillantes et de les supprimer immédiatement.
- Les informations de connexion doivent être modifiées immédiatement.
"L'incident est un très bon rappel que les applications complexes comme Microsoft Exchange ou SharePoint ne doivent pas être ouvertes sur Internet", conseille Matthieu Faou.
Les groupes APT et leurs modèles de comportement
- tique – a compromis le serveur Web d'une société basée en Asie de l'Est fournissant des services informatiques. Comme dans le cas de LuckyMouse et Calypso, le groupe a probablement eu accès à un exploit avant la publication des correctifs.
- ChanceuxSouris - infecté le serveur de messagerie d'une agence gouvernementale au Moyen-Orient. Ce groupe APT a probablement eu un exploit au moins un jour avant la publication des correctifs alors qu'il s'agissait encore d'un jour zéro.
- Calypso - attaqué les serveurs de messagerie d'agences gouvernementales au Moyen-Orient et en Amérique du Sud. Le groupe avait probablement un accès zero-day à l'exploit. Dans les jours qui ont suivi, les opérateurs de Calypso ont attaqué d'autres serveurs gouvernementaux et d'entreprises en Afrique, en Asie et en Europe.
- websiic - Ciblage de sept serveurs de messagerie appartenant à des entreprises (dans les secteurs de l'informatique, des télécommunications et de l'ingénierie) en Asie et à une entité gouvernementale en Europe de l'Est.
- Groupe Winnti - compromis les serveurs de messagerie d'une compagnie pétrolière et d'une entreprise de machines de construction en Asie. Le groupe a probablement eu accès à un exploit avant la publication des correctifs.
- équipe tonto – ont attaqué les serveurs de messagerie d'une société d'approvisionnement et d'une société de conseil spécialisée dans le développement de logiciels et la cybersécurité, tous deux basés en Europe de l'Est.
- Activité ShadowPad - infecté les serveurs de messagerie d'une société de développement de logiciels basée en Asie et d'une société immobilière basée au Moyen-Orient. ESET a découvert une variante de la porte dérobée ShadowPad injectée par un groupe inconnu.
- "Opération" Cobalt Strike – ciblait environ 650 serveurs, principalement aux États-Unis, en Allemagne, au Royaume-Uni et dans d'autres pays européens, quelques heures seulement après la publication des correctifs.
- Portes dérobées IIS - ESET a observé des portes dérobées IIS installées sur quatre serveurs de messagerie en Asie et en Amérique du Sud via les webshells utilisés dans ces violations. L'une des portes dérobées est publiquement connue sous le nom d'Owlproxy.
- microcea - compromis le serveur Exchange d'une entreprise de services publics en Asie centrale, une région généralement ciblée par ce groupe.
- DLTMiner - ESET a découvert l'utilisation de téléchargeurs PowerShell sur plusieurs serveurs de messagerie précédemment attaqués via les vulnérabilités Exchange. L'infrastructure réseau utilisée dans cette attaque est liée à une campagne d'extraction de pièces signalée précédemment.
Fond
Début mars, Microsoft a publié des correctifs pour Exchange Server 2013, 2016 et 2019 qui corrigent un certain nombre de vulnérabilités d'exécution de code à distance (RCE) avant l'authentification. Les vulnérabilités permettent à un attaquant de prendre le contrôle de n'importe quel serveur Exchange accessible sans avoir à connaître des informations d'identification valides, ce qui rend les serveurs Exchange accessibles sur Internet particulièrement vulnérables.
En savoir plus sur WeLiveSecurity sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.