Crédit : Dreamstime
Microsoft a récemment validé les failles et des directives d’atténuation publiées jusqu’à ce qu’un point total puisse être établi, mais selon les rapports, l’atténuation proposée peut être rapidement contournée. Les nouvelles vulnérabilités ont été découvertes début août par une entreprise de sécurité vietnamienne appelée GTSC alors qu’elle effectuait une surveillance de la sécurité et une réaction aux événements pour un consommateur dont les serveurs avaient été attaqués.
Les chercheurs de GTSC pensaient qu’ils pourraient avoir affaire à un ProxyShell. sur la base des requêtes malveillantes vues dans les journaux du serveur qui semblaient comparables. ProxyShell est une attaque qui enchaîne trois vulnérabilités Exchange et a été couverte en 2015.
Cependant, le groupe de réponse aux incidents a rapidement réalisé que les serveurs Exchange compromis où les opposants avaient acquis des capacités d’exécution de code à distance étaient complètement à jour, ce qui suggérait qu’il ne pouvait pas s’agir de ProxyShell.
Après que l’ingénierie inverse ait vérifié qu’ils traitaient avec des vulnérabilités auparavant inconnues, ils ont envoyé un signaler au programme Absolutely no Day Initiative (ZDI) de Pattern Micro dont les experts les ont validés et partagés avec Microsoft.
La nouvelle attaque utilise 2 vulnérabilités
La toute nouvelle chaîne d’attaque exploite 2 nouveaux défauts que Microsoft suit désormais sous les noms CVE-2022-41040 et CVE-2022-41082. Le tout premier est un problème de falsification de la demande côté serveur (SSRF) qui permet à un attaquant vérifié de déclencher la deuxième vulnérabilité. Cela permet à son tour l’exécution de code à distance via PowerShell.
Les défauts affectent Microsoft Exchange Server 2013, Exchange Server 2016 et Exchange Server 2019, tandis que Microsoft Exchange Online a déjà mis en place des détections et des atténuations. « Il convient de garder à l’esprit qu’un accès authentifié au serveur Exchange vulnérable est essentiel pour exploiter avec succès l’une ou l’autre des vulnérabilités », a déclaré Microsoft dans son avis.
Dans les attaques observées par GTSC sur de nombreux clients, les opposants utilisé pour déployer des shells Web – des scripts de porte dérobée – se faisant passer pour des fichiers Exchange légitimes tels que RedirSuiteServiceProxy.aspx. Ils ont ensuite déployé des logiciels malveillants de rejet d’informations d’identification pour voler les informations d’identification des serveurs compromis. Sur la base de l’option des coquilles Web et d’autres artefacts laissés pour compte, les scientifiques présument que les agresseurs sont chinois.
Selon un rapport séparé de Cisco Talos, les attaquants ont utilisé Antsword, un langage ouvert populaire basé sur la langue chinoise. shell Web source ; SharPyShell, un shell Web basé sur ASP.NET ; et China Chopper. Ils abusent également de certutil, un véritable utilitaire, pour télécharger et déployer des implants.
L’atténuation de Microsoft pour les zero-days d’Exchange Server peut être contournée
La proposition de Microsoft L’atténuation consiste à obstruer les schémas d’attaque connus en utilisant le moteur de reformulation d’URL disponible sous « Gestionnaire IIS– Site Web par défaut– Réécriture d’URL– Actions ». La société a fourni une règle de blocage et a écrit un script PowerShell pour automatiser la publication.
Cependant, un scientifique vietnamien en sécurité avec le compte Twitter Janggggg a expliqué lundi que la directive de blocage peut être rapidement contournée. Cela a été validé par d’autres chercheurs en sécurité, dont l’ancien analyste CERT/CC Will Dormann, qui a composé :
« Le ‘@’ dans le recommandé par Microsoft ». * découverte automatique.json. * @. * Powershell. * » Atténuation des blocs d’URL pour CVE-2022-41040 CVE-2022-41082 semble inutilement précise, et pour cette raison insuffisante. Tentative la plus probable « . * découverte automatique.json. * Powershell. * » à la place. »
Règle de blocage, Microsoft conseille également fortement aux organisations de désactiver l’accès PowerShell à distance pour les utilisateurs non-administrateurs, car les agresseurs n’ont pas la possibilité d’accéder à PowerShell à partir d’un compte compromis cette attaque serait inefficace. Cela laisse toujours les utilisateurs administrateurs vulnérables, mais si un utilisateur administrateur est compromis, les agresseurs ont actuellement beaucoup de pouvoir.
Microsoft propose des instructions sur la façon de désactiver l’accès PowerShell à distance pour les utilisateurs dans un article différent en plus de la détection et des conseils de recherche de danger pour les attaques actuellement observées. Les rapports GTSC et Talos contiennent également des indicateurs de compromission.
Toute l’actualité en temps réel, est sur L’Entrepreneur
