Microsoft Le serveur Exchange est l’un de ces incontournables de l’entreprise, mais c’est aussi une clé cible des cybercriminels. La semaine dernière, GTSC a signalé que les attaques avaient commencé à enchaîner deux nouveaux exploits Exchange zero day dans le cadre d’attaques coordonnées.
Bien que les informations soient limitées, Microsoft a confirmé dans un article de blog indiquant que ces exploits ont été utilisés par un suspect acteur de menace parrainé par l’État pour cibler moins de 10 organisations et réussir à exfiltrer des données.
Les vulnérabilités elles-mêmes affectent Exchange Server 2013, 2016 et 2019. La première, CVE-2022-41040 est une vulnérabilité Server-Side Request Forgery (SSRF), et la seconde CVE-2022-41082 permet l’exécution de code à distance si le l’attaquant a accès à PowerShell.
Lorsqu’ils sont combinés, un attaquant peut utiliser l’indicateur SSRF pour déployer à distance un code malveillant sur un réseau cible.
Serveurs Exchange sur site : une cible irrésistible
Étant donné que 65 000 entreprises utilisent Microsoft Exchange, les entreprises doivent être préparées à ce que d’autres acteurs malveillants exploitent ces vulnérabilités. Après tout, ce n’est pas la première fois que des serveurs Exchange sur site sont ciblés dans le cadre d’une attaque.
En mars de l’année dernière, un cybercriminel chinois appelé Hafnium a exploité quatre vulnérabilités zero-day dans les versions sur site d’Exchange Server et a piraté avec succès au moins 30 000 Organisations américaines.
Au cours de ces attaques, Hafnium a volé les informations d’identification des utilisateurs pour accéder aux serveurs d’échange de l’entreprise et a déployé un code malveillant pour obtenir un accès administrateur à distance et commencer à collecter des données sensibles.
Bien qu’une poignée d’organisations seulement aient été ciblées par cet acteur de menace inconnu parrainé par l’État, Exchange est une cible de grande valeur pour les cybercriminels, car il fournit une passerelle vers de nombreuses informations précieuses.
« Exchange est une cible intéressante à exploiter pour deux raisons principales », a déclaré Travis Smith, vice-président de Malware Threat Research chez Qualys.
« Tout d’abord, Exchange est un serveur de messagerie, il doit donc être connecté directement à Internet. Et être directement connecté à Internet crée une surface d’attaque accessible de n’importe où dans le monde, ce qui augmente considérablement le risque d’être attaqué », a déclaré Smith.
Deuxièmement, Exchange est une fonction vitale : les entreprises ne peuvent pas simplement débrancher ou désactiver les e-mails sans avoir un impact négatif important sur leur activité », a déclaré Smith.
Alors, à quel point est-ce mauvais ?
L’une des principales limitations de ces vulnérabilités du point de vue d’un attaquant est qu’il doit disposer d’un accès authentifié à un serveur Exchange pour tirer parti des exploits.
Bien qu’il s’agisse d’un obstacle, la réalité est que les identifiants de connexion sont faciles à récolter pour les cybercriminels, que ce soit en achetant l’un des sont exposés sur le dark web ou incitent les employés à les transmettre via des e-mails de phishing ou des attaques d’ingénierie sociale.
À ce stade, Microsoft prévoit une augmentation de l’activité autour de la menace.
Dans un blog publié le 30 septembre, Microsoft a noté « il est prévu que des menaces similaires et l’exploitation globale de ces vulnérabilités augmenteront, à mesure que la sécurité les chercheurs et les cybercriminels adoptent la recherche publiée dans leurs boîtes à outils et le code de preuve de concept devient disponible.
Comment réduire le risque
Bien qu’aucun correctif ne soit encore disponible pour les mises à jour, Microsoft a publié une liste d’actions correctives que les entreprises peuvent prendre pour sécuriser leurs environnements.
Microsoft recommande aux entreprises de consulter et d’appliquer les instructions de réécriture d’URL dans son article du centre de réponse de sécurité Microsoft, et a publié un script pour atténuer la vulnérabilité SSRF.
L’organisation suggère également aux organisations utilisant Microsoft 365 Defender de prendre les mesures suivantes :
- Activer la protection fournie par le cloud dans Microsoft Defender Antivirus,
- Activez la protection antialtération,
- Exécutez EDR en mode bloc,
- Activer la protection du réseau
- Activer l’investigation et la correction en mode entièrement automatisé, et
- Activez la protection du réseau pour empêcher les utilisateurs et les applications d’accéder à des domaines malveillants
Indirectement, les organisations peuvent également chercher à réduire le risque d’exploitation en mettant l’accent sur la sensibilisation à la sécurité et en éduquant les employés sur les menaces d’ingénierie sociale et sur l’importance d’une gestion appropriée des mots de passe pour réduire les risques qu’un cybercriminel obtienne un accès administratif à Exchange.
Enfin, il est peut-être temps pour les organisations de déterminer si l’exécution d’un serveur Exchange sur site est nécessaire.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos Briefings.
.
