22 000 serveurs sont exposés à des failles zero-day dans Microsoft Exchange
Microsoft a annoncé que deux vulnérabilités critiques de son application Exchange sont exploitées par des attaquants. La société a également expliqué que plus de 22 000 serveurs dans le monde sont affectés.
"Pour l'instant, Microsoft a connaissance d'attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs. Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082", ont écrit les membres de l'équipe du Microsoft Security Response Center.
Les nouvelles vulnérabilités comprennent CVE-2022-41040, une vulnérabilité de falsification de requête côté serveur, et CVE-2022-41082, qui permet l'exécution de code à distance lorsque PowerShell est accessible à l'attaquant.
La vulnérabilité affecte les serveurs Exchange sur site et non le service Microsoft Exchange. Cependant, de nombreuses entreprises utilisent l'offre en nuage de Microsoft avec une offre qui utilise un mélange de matériel sur site et en nuage.
Selon o GSTC, les attaquants exploitent le zero-day pour infecter les serveurs avec des webshells, une interface texte qui leur permet d'émettre des commandes. Les webshells de l'entreprise contiennent des caractères chinois simplifiés, ce qui suggère que les pirates parlent couramment le chinois.
Les commandes émises portent également la signature du China Chopper, un webshell couramment utilisé par les acteurs de la menace parlant chinois, notamment les groupes de menaces persistantes avancées soutenus par la République populaire de Chine.
Le logiciel malveillant installé émule le service Web Exchange de Microsoft et se connecte également à l'adresse IP 137[.]184[.]67[.]33, qui est chiffrée en binaire.
Le logiciel malveillant envoie et reçoit ensuite des données cryptées avec une clé de cryptage RC4, qui est générée au moment de l'exécution.
Il est conseillé à tous les utilisateurs de serveurs Exchange sur site de prendre des mesures immédiates en appliquant une règle de verrouillage qui empêche les serveurs d'accepter des modèles d'attaque connus. La règle peut être appliquée en allant dans "IIS Manager > Default Web Site > URL Rewrite > Actions".
Microsoft recommande également aux utilisateurs de bloquer le port HTTP 5986, que les attaquants doivent exploiter pour utiliser CVE-2022-41082. Il est important que les entreprises adoptent d'autres mesures de sécurité pour empêcher leurs serveurs d'être exploités par des attaquants.
Les sources de cette pièce comprennent un article d'ArsTechnica.