Microsoft a confirmé l’existence de deux vulnérabilités zero-day dans Microsoft Exchange – et elles sont déjà utilisées pour lancer des cyberattaques contre des organisations.
Dans un article de blogla société de logiciels et de cloud computing a reconnu ce que la société vietnamienne de cybersécurité GTSC avait annoncé précédemment: qu’il existe en effet deux vulnérabilités majeures d’Exchange et qu’elles sont exploitées à l’état sauvage.
“Microsoft enquête sur deux vulnérabilités zero-day signalées affectant Microsoft Exchange Server 2013, 2016 et 2019”, a déclaré la société basée à Redmond, dans l’État de Washington.
« La première vulnérabilité, identifiée comme CVE-2022-41040, est une vulnérabilité Server-Side Request Forgery (SSRF), tandis que la seconde, identifiée comme CVE-2022-41082, permet l’exécution de code à distance (RCE) lorsque PowerShell est accessible au attaquant. “
La société a ensuite ajouté de manière inquiétante : “Pour le moment, Microsoft est au courant d’attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs. Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082. Il convient de noter qu’un accès authentifié au serveur Exchange vulnérable est nécessaire pour exploiter avec succès l’une ou l’autre des deux vulnérabilités.
Le billet de blog a poursuivi en disant que Microsoft “surveillait ces détections déjà déployées pour détecter les activités malveillantes et prendrait les mesures de réponse nécessaires pour protéger les clients”.
Microsoft a déclaré qu’il “travaillait désormais sur un calendrier accéléré pour publier un correctif” mais, jusque-là, il fournissait des “conseils d’atténuation et de détection” dans son article de blog afin “d’aider les clients à se protéger de ces attaques”.
Le message présente ensuite des conseils d’atténuation détaillés que l’utilisateur peut suivre.
Un représentant de Microsoft n’a pas pu être joint par CRN US pour un commentaire supplémentaire.
Sur Twitter, Le chercheur en cybersécurité Kevin Beaumont a suggéré qu’il y a plus de cyberactivité liée aux vulnérabilités d’Exchange que Microsoft pourrait le reconnaître.
“Je peux confirmer qu’un nombre important de serveurs Exchange ont été détournés – y compris un pot de miel”, a-t-il déclaré.
Plus tôt cette semaine, Bleeping Computer signalé que GTSC “soupçonne qu’un groupe de menaces chinois est responsable des attaques basées sur la page de code des shells Web, un codage de caractères Microsoft pour le chinois simplifié”.
Dans une interview avec CRN US, Martin Zugec, directeur des solutions techniques chez Bitdiscovery, un fournisseur de cybersécurité basé à Bucarest, en Roumanie et avec des bureaux aux États-Unis, a déclaré qu’il n’était “pas surpris” que de mauvais acteurs profitent des vulnérabilités du populaire Microsoft Exchange. .
“Ils recherchent les cibles qui sont massivement déployées”, a-t-il déclaré.
Il a ajouté des cybercriminels en général : « Ils vont identifier les composants logiciels qui sont déployés massivement dans tous les réseaux. Ils déploient ensuite ces scanners automatisés pour trouver les systèmes vulnérables. »
Cet article a été initialement publié sur crn.com
