Failles Microsoft Exchange Server : un outil de détection pour une attaque massive

Le par Jérôme G.  |  4 commentaire(s)
cybersecurite

Le nombre des victimes se compterait en plusieurs centaines de milliers dans le monde, et plus de 30 000 organisations aux États-Unis, avec les exploits pour les vulnérabilités de sécurité affectant des serveurs Microsoft Exchange.

Dans le cadre d'une publication en urgence de correctifs de sécurité, Microsoft a révélé le 2 mars l'existence de plusieurs exploits 0day utilisés pour attaquer des serveurs de messagerie Exchange en version 2013, 2016 et 2019.

Les solutions Exchange Online ne sont pas affectées. L'attaque cible des entreprises ayant recours à Exchange Server sur site. L'exploitation des vulnérabilités (une chaîne d'attaque) permet le déploiement de web shell sur les serveurs compromis.

Sur GitHub, Microsoft publie un script afin d'analyser les fichiers log d'Exchange et rechercher des indicateurs de compromission associés aux quatre vulnérabilités de sécurité exploitées. Cet outil reprend le nom de ProxyLogon qui a été donné par des chercheurs en sécurité de Devcore pour les exploits (Exchange Proxy Architecture et mécanisme Logon).

Sous l'égide de la Sécurité intérieure des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) recommande aux organisations d'exécuter le script Test-ProxyLogon.ps1 le plus rapidement possible pour les aider à déterminer si leurs systèmes sont compromis.

Une menace active

Selon la cybersécurité américaine, l'exploitation des vulnérabilités est généralisée au niveau national et international. À Wired, un chercheur en sécurité impliqué dans l'enquête a confié sous couvert d'anonymat que le nombre de serveurs Exchange piratés est de plus de 30 000 aux États-Unis, et des centaines de milliers dans le monde.securite

Lors d'un point presse vendredi, la porte-parole de la Maison-Blanche a souligné une menace active. " Tous ceux qui exécutent ces serveurs - gouvernement, secteur privé, universités - doivent agir maintenant pour les corriger (ndlr : les vulnérabilités de sécurité en appliquant les correctifs de Microsoft). "

Jen Psaki a ajouté : " Nous sommes préoccupés par le grand nombre de victimes et nous travaillons avec nos partenaires pour comprendre l'ampleur de la situation. "

Pour l'attaque, Microsoft a donné le nom du groupe Hafnium basé en Chine et opérant par l'intermédiaire de serveurs privés virtuels loués aux États-Unis. D'après les chercheurs en sécurité de Volexity, les intrusions auraient débuté dès le 6 janvier dernier (au moins). Néanmoins, d'autres groupes - acteurs étatiques et groupes cybercriminels - pourraient aussi être de la partie.


  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Narcos Hors ligne VIP icone 21795 points
Le #2124171
La Cyber criminalité se lève à l'Est....!!
Ulysse2K Hors ligne VIP icone 45440 points
Le #2124180
Narcos a écrit :

La Cyber criminalité se lève à l'Est....!!


Ben vu que je suis à l'Ouest m'en vais me recoucher alors.

skynet Hors ligne VIP icone 78397 points
Le #2124183
Ca fait froid dans le dos, et c'est pas terminé
Narcos Hors ligne VIP icone 21795 points
Le #2124188
Putain, les chinois c'est vraiment le péril jaune !!

Cela dit, si cela pouvait créer une prise de conscience des sociétés qui ne prennent pas ces menaces au sérieux, cette attaque aura eu un coté productif !
icone Suivre les commentaires
Poster un commentaire