Microsoft met en garde contre les vulnérabilités d’Exchange Server.
Tard vendredi Microsoft divulgué que deux jours zéro ont affecté trois versions de son serveur Exchange largement utilisé. La divulgation initiale de Redmond disait :
« Microsoft enquête sur deux vulnérabilités zero-day signalées affectant Microsoft Exchange Server 2013, Exchange Server 2016 et Exchange Server 2019. La première, identifiée comme CVE-2022-41040, est une vulnérabilité de falsification de requête côté serveur (SSRF), et le second, identifié comme CVE-2022-41082, permet l’exécution de code à distance (RCE) lorsque PowerShell est accessible à l’attaquant.
“Actuellement, Microsoft a connaissance d’attaques ciblées limitées utilisant ces deux vulnérabilités. Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082. Il convient de noter que l’accès authentifié au serveur Exchange vulnérable est nécessaire pour exploiter avec succès l’une ou l’autre vulnérabilité.
“Nous travaillons sur un calendrier accéléré pour publier un correctif. D’ici là, nous fournissons des mesures d’atténuation et des conseils de détection ci-dessous pour aider les clients à se protéger contre ces attaques.”
Centre de réponse de sécurité de Microsoft partagé un ensemble initial d’atténuations et d’outils pour évaluer le risque, y compris des indicateurs de compromission, dans son “Conseils aux clients pour les vulnérabilités Zero-day signalées dans Microsoft Exchange Server.” Dimanche soir, le Microsoft Security Response Center a ajouté cette mise en garde : “Nous recommandons vivement aux clients Exchange Server de désactiver l’accès PowerShell à distance pour les utilisateurs non administrateurs de votre organisation.”
GTSC a initialement découvert les zero-days (et leur exploitation).
Dans le cadre des services de surveillance de la sécurité et de réponse aux incidents, son équipe SOC effectuait début août, le GTSC basé à Hanoï “découvert qu’une infrastructure critique était attaquée” via son application Microsoft Exchange. Ils ont partagé leur découverte avec le Initiative Zero Day et Microsoft, qui ont conduit aux correctifs que Redmond a publiés vendredi.
GTSC a résumé l’activité des attaquants comme suit : “Nous avons enregistré des attaques pour collecter des informations et prendre pied dans le système de la victime. L’équipe d’attaque a également utilisé diverses techniques pour créer des portes dérobées sur le système affecté et effectuer des mouvements latéraux vers d’autres serveurs du système. Nous avons détecté des webshells, pour la plupart obscurcis, déposés sur les serveurs Exchange. À l’aide de l’agent utilisateur, nous avons détecté que l’attaquant utilise Antsword, un outil d’administration de site Web multiplateforme open source actif basé en Chine qui prend en charge la gestion du webshell. La société a fourni à ses clients des mesures de confinement temporaires qu’ils pouvaient utiliser pour se protéger jusqu’à ce que Microsoft soit en mesure de mettre à disposition un correctif.
Qui est responsable de l’exploitation observée n’est pas clair, mais GTSC voit des preuves circonstancielles solides que l’acteur ou les acteurs de la menace sont chinois. “Nous soupçonnons que ces exploits proviennent de groupes d’attaque chinois, basés sur la page de code Webshell de 936, un encodage de caractères Microsoft pour le chinois simplifié.”
Sophos fait remarquer à quoi pourraient correspondre ces mesures temporaires, et considère cela comme une sorte de “doublure argentée” dans le nuage que l’incident jette sur Exchange ;
“Les bogues ne peuvent pas être déclenchés par n’importe qui.” Autrement dit, seul un attaquant authentifié peut les initier. “Bien sûr, tout utilisateur distant qui s’est déjà connecté à son compte de messagerie sur Internet et dont l’ordinateur est infecté par des logiciels malveillants pourrait en théorie voir son compte détourné pour lancer une attaque exploitant ces bogues. Mais le simple fait d’avoir votre serveur Exchange accessible sur Internet ne suffit pas à lui seul à vous exposer à des attaques, car les soi-disant appel non authentifié de ces bogues n’est pas possible.
“Blocage Accès à distance PowerShell peut limiter les attaques. Selon Microsoft, le blocage des ports TCP 5985 et 5986 sur votre serveur Exchange limitera (sinon empêchera) les attaquants de s’enchaîner de la première vulnérabilité à la seconde. Bien que des attaques puissent être possibles sans s’appuyer sur le déclenchement de commandes PowerShell, les rapports d’intrusion semblent jusqu’à présent suggérer que l’exécution de PowerShell était une partie nécessaire de l’attaque.”
Les zero-days sont cousins germains de ProxyShell ; les organisations qui se sont retrouvées vulnérables à ProxyShell doivent être particulièrement sur leurs gardes.
CISA ajoute les deux problèmes à son catalogue de vulnérabilités exploitées connues.
Vendredi soir, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté les deux CVE-2022-41082 et CVE-2022-41040 à son Catalogue des vulnérabilités exploitées connues. Il a caractérisé CVE-2022-41082 comme suit : “Microsoft Exchange Server contient une vulnérabilité non spécifiée qui permet l’exécution de code à distance authentifiée. Surnommée “ProxyNotShell”, cette vulnérabilité peut être enchaînée avec CVE-2022-41040 qui permet l’exécution de code à distance.” CVE-2022-41040, une vulnérabilité de falsification de requête côté serveur, est décrite ainsi : “Microsoft Exchange Server autorise la falsification de requête côté serveur. Surnommée “ProxyNotShell”, cette vulnérabilité peut être enchaînée avec CVE-2022-41082 qui permet le code à distance exécution.” Dans les deux cas, CISA conseille aux organisations d’appliquer les mesures d’atténuation fournies par Microsoft. Les agences civiles exécutives fédérales américaines ont jusqu’au 21 octobre pour agir.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/irishtimes/DU6FQI66XNFCLABDWXBRZ3B5BQ.jpg?fit=300%2C300&ssl=1)