Microsoft exhorte les clients à maintenir leurs serveurs Exchange à jour et à prendre des mesures pour renforcer l’environnement, comme l’activation de la protection étendue de Windows et la configuration de la signature basée sur des certificats des charges utiles de sérialisation PowerShell.

« Les attaquants qui cherchent à exploiter des serveurs Exchange non corrigés ne vont pas disparaître », a déclaré l’équipe Exchange du géant de la technologie dans un message. « Il y a trop d’aspects des environnements Exchange sur site non corrigés qui sont précieux pour les acteurs malveillants qui cherchent à exfiltrer des données ou à commettre d’autres actes malveillants. »

Microsoft a également souligné que les mesures d’atténuation émises par la société ne sont qu’une solution palliative et qu’elles peuvent « devenir insuffisantes pour se protéger contre toutes les variantes d’une attaque », obligeant les utilisateurs à installer les mises à jour de sécurité nécessaires pour sécuriser les serveurs.

Exchange Server s’est avéré être un vecteur d’attaque lucratif au cours des dernières années, avec un certain nombre de failles de sécurité dans le logiciel militarisées comme des zero-days pour pirater les systèmes.

Au cours des deux dernières années seulement, plusieurs ensembles de vulnérabilités ont été découverts dans Exchange Server – y compris ProxyLogon, ProxyOracle, ProxyShell, ProxyToken, ProxyNotShell et un contournement d’atténuation ProxyNotShell connu sous le nom d’OWASSRF – dont certains ont fait l’objet d’une exploitation généralisée dans la nature.

Bitdefender, dans un avis technique publié cette semaine, a décrit Exchange comme une « cible idéale », tout en relatant certaines des attaques réelles impliquant les chaînes d’exploitation ProxyNotShell / OWASSRF depuis fin novembre 2022.

« Il existe un réseau complexe de services frontend et backend [dans Exchange], avec un code hérité pour assurer la rétrocompatibilité », a noté Martin Zugec de Bitdefender. « Les services backend font confiance aux requêtes de la couche frontale [Client Access Services]. »

Une autre raison est le fait que plusieurs services principaux s’exécutent en tant que serveur Exchange lui-même, qui est fourni avec des privilèges SYSTEM, et que les exploits pourraient accorder à l’attaquant un accès non autorisé au service PowerShell distant, ouvrant ainsi la voie à l’exécution de commandes malveillantes.

À cette fin, les attaques militarisant les failles ProxyNotShell et OWASSRF ont ciblé les secteurs des arts et du divertissement, du conseil, du droit, de la fabrication, de l’immobilier et de la vente en gros situés en Autriche, au Koweït, en Pologne, en Turquie et aux États-Unis.

« Ces types d’attaques de falsification de requête côté serveur (SSRF) permettent à un adversaire d’envoyer une requête spécialement conçue d’un serveur vulnérable à d’autres serveurs pour accéder à des ressources ou des informations qui ne sont pas directement accessibles autrement », a déclaré la société roumaine de cybersécurité.

La plupart des attaques seraient opportunistes plutôt que ciblées et ciblées, les infections aboutissant à la tentative de déploiement de shells Web et de logiciels de surveillance et de gestion à distance (RMM) tels que ConnectWise Control et GoTo Resolve.

Les shells Web offrent non seulement un mécanisme d’accès à distance persistant, mais permettent également aux acteurs criminels de mener un large éventail d’activités de suivi et même de vendre l’accès à d’autres groupes de pirates à des fins lucratives.

Dans certains cas, les serveurs intermédiaires utilisés pour héberger les charges utiles étaient déjà eux-mêmes des serveurs Microsoft Exchange compromis, ce qui suggère que la même technique a peut-être été appliquée pour étendre l’échelle des attaques.

On a également observé des efforts infructueux entrepris par des adversaires pour télécharger Cobalt Strike ainsi qu’un implant basé sur Go nommé GoBackClient qui est livré avec des capacités pour collecter des informations système et générer des coques inversées.

L’abus des vulnérabilités de Microsoft Exchange a également été une tactique récurrente employée par UNC2596 (alias Tropical Scorpius), les opérateurs du rançongiciel Cuba (alias COLDDRAW), avec une attaque tirant parti de la séquence d’exploitation ProxyNotShell pour supprimer le téléchargeur BUGHATCH.

« Alors que le vecteur d’infection initial continue d’évoluer et que les acteurs de la menace exploitent rapidement toute nouvelle opportunité, leurs activités post-exploitation sont familières », a déclaré Zugec. « La meilleure protection contre les cyberattaques modernes est une architecture de défense en profondeur. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *