[ad_1]

Parfois, lorsqu’une histoire complexe nous surprend ou nous renverse, il est utile de revisiter les événements de manière quelque peu linéaire. Voici une brève chronologie de ce que nous savons avant le piratage de masse de la semaine dernière, lorsque des centaines de milliers de Serveur Microsoft Exchange les systèmes ont été compromis et semés avec un puissant programme de cheval de Troie de porte dérobée.

Quand Microsoft a-t-il découvert des attaques sur des vulnérabilités jusque-là inconnues dans Exchange ?

Pressé de fixer une date à laquelle il a pris connaissance du problème pour la première fois, Microsoft a déclaré à BreachTrace qu’il avait été initialement informé « début janvier ». Jusqu’à présent, le premier rapport connu a été publié le 5 janvier par un chercheur principal en sécurité pour une société de test de sécurité. DEVCORE qui passe par la poignée »Tsaï orange.” DEVCORE est crédité d’avoir signalé deux des quatre failles Exchange que Microsoft a corrigées le 2 mars.

Basé à Reston, en Virginie Volexité a identifié pour la première fois les attaques sur les failles le 6 janvier et en a officiellement informé Microsoft le 2 février. Volexity dit maintenant qu’il peut voir le trafic d’attaque remontant au 3 janvier. Microsoft attribue à Volexity le signalement des deux mêmes failles Exchange que DEVCORE.

Entreprise de sécurité danoise Dubex dit qu’il a vu des clients pour la première fois le 18 janvier et a signalé les résultats de sa réponse aux incidents à Microsoft le 27 janvier.

Dans un article de blog sur leur découverte, Veuillez laisser un exploit après le bip Dubex a déclaré que les victimes sur lesquelles il avait enquêté en janvier avaient installé une porte dérobée « web shell » via le module « messagerie unifiée », un composant d’Exchange qui permet à une organisation de stocker des messages vocaux et des fax ainsi que des e-mails, des calendriers et des contacts dans les boîtes aux lettres des utilisateurs. .

« Un serveur de messagerie unifiée permet également aux utilisateurs d’accéder aux fonctionnalités de messagerie vocale via les smartphones, Microsoft Outlook et Outlook Web App », a écrit Dubex. « La plupart des utilisateurs et des services informatiques gèrent leur messagerie vocale séparément de leur courrier électronique, et la messagerie vocale et le courrier électronique existent dans des boîtes de réception distinctes hébergées sur des serveurs distincts. La messagerie unifiée offre un magasin intégré pour tous les messages et un accès au contenu via l’ordinateur et le téléphone.

Dubex dit que Microsoft a « escaladé » son problème le 8 février, mais n’a jamais confirmé le jour zéro avec Dubex avant l’appel au correctif d’urgence du 2 mars. « Nous n’avons jamais reçu de « vraie » confirmation du jour zéro avant le correctif. a été libéré », a déclaré Dubex’s Directeur de la technologie Jacob Herbst.

Depuis combien de temps les vulnérabilités exploitées ici existent-elles ?

Le 2 mars, Microsoft a corrigé quatre failles dans Exchange Server 2013 à 2019. Exchange Server 2010 n’est plus pris en charge, mais le géant du logiciel a fait une exception de «défense en profondeur» et a également offert aux utilisateurs de Server 2010 un correctif gratuit. Cela signifie que les vulnérabilités exploitées par les attaquants se trouvent dans la base de code de Microsoft Exchange Server depuis plus de dix ans.

Le calendrier signifie également que Microsoft a eu près de deux mois pour publier le correctif qu’il a finalement livré le 2 mars, ou bien aider des centaines de milliers de clients Exchange à atténuer la menace de cette faille avant que les attaquants ne commencent à l’exploiter sans discernement.

Voici une chronologie approximative telle que nous la connaissons jusqu’à présent :

  • 5 janvier : DEVCORE alerte Microsoft de ses découvertes.
  • 6 janvier : Volexity détecte les attaques qui utilisent des vulnérabilités inconnues dans Exchange.
  • 8 janvier : DEVCORE rapporte que Microsoft a reproduit les problèmes et vérifié leurs résultats.
  • 25 janvier : Accrocs DEVCORE proxylogon.com un domaine désormais utilisé pour expliquer son processus de découverte de vulnérabilités.
  • 27 janvier : Dubex alerte Microsoft sur des attaques sur une nouvelle faille Exchange.
  • 29 janvier : Trend Micro publie un article de blog sur « Hachoir de Chine” les shells Web sont abandonnés via les failles Exchange (mais les attributs causent le bogue Exchange corrigé par Microsoft en 2020)
  • 2 février : Volexity avertit Microsoft des attaques actives sur des vulnérabilités Exchange jusque-là inconnues.
  • 8 février : Microsoft dit à Dubex qu’il a « remonté » son rapport en interne.
  • 18 février : Microsoft confirme avec DEVCORE une date cible du 9 mars (demain) pour la publication des mises à jour de sécurité pour les failles Exchange. C’est le deuxième mardi du mois – alias « Patch mardi», lorsque Microsoft publie des mises à jour de sécurité mensuelles (et oui, cela signifie revenir ici demain pour le tour d’horizon toujours captivant du Patch Tuesday).
  • 26-27 février : L’exploitation ciblée se transforme progressivement en une analyse de masse globale ; les attaquants commencent rapidement à détourner les serveurs vulnérables.
  • 2 mars : Une semaine plus tôt que prévu, Microsoft publie des mises à jour pour corriger 4 failles zero-day dans Exchange.
  • 2 mars : Orange Tsai, chercheur à DEVCORE (remarqué pour avoir trouvé et signalé des bogues assez effrayants dans le passé) blagues que personne n’a deviné Exchange comme la source de son Tweet du 5 janvier sur « probablement le plus grave [remotely exploitable bug] Je n’ai jamais signalé.
  • 3 mars : Des dizaines de milliers de serveurs Exchange compromis dans le monde, avec des milliers d’autres serveurs fraîchement piratés chaque heure.
  • 4 mars : Conseiller à la sécurité nationale de la Maison Blanche Jake Sullivan tweets sur l’importance de corriger les failles d’Exchange et sur la façon de détecter si les systèmes sont déjà compromis.
  • 5 mars, 13 h 26 HE : Lors d’un briefing en direct, l’attaché de presse de la Maison Blanche Jen Psaki exprime sa préoccupation sur la taille de l’attaque.
  • 5 mars, 16 h 07 HE : BreachTrace annonce qu’au moins 30 000 organisations aux États-Unis – et des centaines de milliers dans le monde – ont désormais installé des portes dérobées.
  • 5 mars, 18 h 56 HE : Wired.com confirme le nombre de victimes rapporté.
  • 5 mars, 20 h 04 HE : Ancien chef du CISA Chris tweets le vrai nombre de victimes « éclipse » ce qui a été rapporté publiquement.
  • 6 mars : CISA dit il est conscient de « l’exploitation nationale et internationale généralisée des failles de Microsoft Exchange Server ».
  • 7 mars : Les experts en sécurité poursuivent leurs efforts pour informer les victimes, coordonner les mesures correctives et rester vigilants pour le « stade 2 » de cette attaque (exploitation supplémentaire des serveurs déjà compromis).
  • 9 mars : Microsoft affirme que 100 000 des 400 000 serveurs Exchange dans le monde ne sont toujours pas corrigés.
  • 9 mars : Microsoft « Patch Tuesday » (la date de publication d’origine des mises à jour Exchange) ; Redmond corrige 82 failles de sécurité dans Windows et d’autres logiciels, y compris une vulnérabilité zero-day dans son logiciel de navigateur Web.
  • 10 mars : Exploit de travail pour la faille Exchange publié sur Github puis supprimé par Microsoft, propriétaire de la plate-forme.
  • 10 mars : Entreprise de sécurité ESET rapports au moins 10 groupes de cybercriminalité et d’espionnage à «menace persistante avancée» (APT) exploitent les failles d’Exchange nouvellement exposées à leurs propres fins.
  • 12 mars : le journal Wall Street, Financial Timesd’autres rapportent que Microsoft étudie comment l’exploit exact @OrangeTsai partagé avec Microsoft fini être exploité publiquement avant que Microsoft ne publie ses mises à jour.
  • 12 mars : Microsoft dit il y a encore 82 000 serveurs Exchange non corrigés exposés. « Les groupes qui tentent de tirer parti de cette vulnérabilité tentent d’implanter des rançongiciels et d’autres logiciels malveillants susceptibles d’interrompre la continuité des activités. »

Mise à jour, 12 h 11 HE : Lien corrigé vers le site Dubex (c’est Dubex.dk). A également clarifié le moment du communiqué de presse de la Maison Blanche exprimant son inquiétude face au nombre de compromis d’Exchange Server. Date corrigée du tweet d’Orange Tsai.

Mise à jour, 10 mars, 10 h 28 HE : Date corrigée de l’enregistrement proxylogon.com.

Mis à jour le 14 mars à 12 h 26 HE : Ajout d’entrées dans la chronologie du 9 mars à Mach. 12.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *