mardi, 6 décembre 2022

MS Exchange zero-days : le calme avant la tempête ?

CVE-2022-41040 et CVE-2022-41082, les deux vulnérabilités MS Exchange exploitées qui n’ont toujours pas de correctif officiel, ont été ajoutées aux vulnérabilités exploitées connues de CISA (KEV) Catalogue.

Mais pour atténuer le risque d’exploitation jusqu’à ce que les correctifs soient prêts, il faudra de la patience et de la persévérance, car Microsoft révise toujours ses conseils aux administrateurs et aux défenseurs du réseau, et travaille toujours sur les correctifs.

Exchange zero-days : la situation actuelle

CVE-2022-41040 et CVE-2022-41082 ont été documentés publiquement mercredi dernier, par des chercheurs de la société vietnamienne GTSC, et Microsoft peu après est passé à l’action (discernable) en proposant guide client , suivi de une analyse des attaques exploitant les deux vulnérabilités.

Plusieurs modifications ont été apportées aux documents depuis lors, après que l’entreprise a découvert et que d’autres chercheurs ont souligné plusieurs lacunes :

Et les problèmes sont loin d’être résolus ; les défenseurs doivent s’attendre à d’autres changements bientôt :

Ce dernier tweet fait référence au script PowerShell fournissant une atténuation via le Service Exchange d’atténuation d’urgence (EM).

Que devez-vous faire ?

Microsoft affirme que ses analystes des menaces ont observé « une activité liée à un seul groupe d’activités en août 2022 qui a obtenu un accès initial et compromis les serveurs Exchange en enchaînant CVE-2022-41040 et CVE-2022-41082 dans un petit nombre d’attaques ciblées ». et que les attaquants ont piraté moins de 10 organisations dans le monde.

« MSTIC évalue avec un niveau de confiance moyen que le groupe d’activité unique est susceptible d’être une organisation parrainée par l’État », ils ajouté.

L’autre bonne nouvelle est qu’il n’y a toujours pas d’exploits publics pour les deux vulnérabilités.

Mais, selon Microsoft, « les vulnérabilités Exchange antérieures qui nécessitent une authentification ont été adoptées dans les boîtes à outils des attaquants qui déploient des rançongiciels, et ces vulnérabilités sont susceptibles d’être incluses dans des attaques similaires en raison de l’accès hautement privilégié que les systèmes Exchange confèrent à un attaquant. . »

Les défenseurs des entreprises devraient s’attendre à des problèmes via cette voie d’attaque dans un avenir proche, semble-t-il, il est donc conseillé de se tenir au courant de l’évolution de la situation et d’agir le plus rapidement possible une fois les correctifs disponibles.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici