Vulnérabilités du jour zéro de Microsoft Exchange Server
Une attaque grave exploitant quatre vulnérabilités zero-day dans les versions locales d'Exchange Server de Microsoft a été menée par ce que l'on pense être un acteur de la menace parrainé par l'État. Microsoft avait déjà commencé à surveiller les activités de ce collectif de hackers sous l'appellation HAFNIUM. Selon leurs conclusions, le groupe est situé en Chine et soutenu par le gouvernement chinois.
Grâce aux exploits, les pirates ont pu obtenir illégalement un accès au serveur Exchange et créer un shell Web leur permettant de contrôler à distance le système. L'objectif principal de l'attaque était d'accéder aux données sensibles contenues dans les comptes de messagerie de la victime et dans le carnet d'adresses Exchange hors ligne. Cependant, le shell Web permettait également de supprimer des charges utiles de logiciels malveillants supplémentaires. Dans l'attaque HAFNIUM, cette fonctionnalité a été utilisée pour assurer un accès prolongé aux systèmes de la victime.
Une fois que les informations sur l'attaque sont devenues publiques, Microsoft a détecté plusieurs autres acteurs de la menace intégrant les vulnérabilités du jour zéro dans leurs opérations. En seulement 9 jours, une nouvelle menace de ransomware a été observée à travers les quatre faiblesses de sécurité. La menace a été nommée DearCry, un hommage évident au tristement célèbre malware WannaCry qui a infecté les utilisateurs du monde entier lors d'une attaque exploitant un ensemble différent de vulnérabilités Microsoft.
Quatre exploits Zero-Day ont activé l'attaque
Les jours zéro exploités par HAFNIUM et les autres acteurs de la menace sont suivis comme CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065.
La première, CVE-2021-26855, est une vulnérabilité de falsification de requête côté serveur (SSRF) qui permet aux attaquants d'envoyer des requêtes HTTP arbitraires et de s'authentifier en tant que serveur Exchange.
CVE-2021-26857 est une vulnérabilité de désérialisation non sécurisée dans le service de messagerie unifiée. En bref, cet exploit a permis aux attaquants d'exécuter du code en tant que SYSTEM sur le serveur Exchange.
Les deux derniers exploits - CVE-2021-26858 et CVE-2021-27065, consistent tous deux en une vulnérabilité d'écriture de fichier arbitraire post-authentification.
Microsoft a publié des correctifs de sécurité et un outil pour atténuer l'attaque
À la suite de la violation et en raison de sa gravité, Microsoft a publié plusieurs mises à jour de sécurité pour corriger les vulnérabilités des anciennes versions de leur serveur Exchange. Le géant de la technologie a également publié un blog sur la sécurité contenant l'IoC (Indicators of Compromise) observé, des conseils de détection et des requêtes de recherche avancées afin que les clients aient une meilleure idée de l'endroit où rechercher des signes d'activité potentiellement malveillante.
Pour aider les petits clients qui ne disposent pas de services de cybersécurité ou informatiques dédiés, Microsoft a également publié un outil d'atténuation en un clic. L'outil d'atténuation sur site de Microsoft Exchange est destiné à être utilisé comme mesure de sécurité provisoire sur les déploiements d'Exchange Server 2013, 2016 et 2019 pendant que le client se prépare à installer la mise à jour de sécurité appropriée.
