ClickCease 22 000 serveurs sont exposés à des failles zero-day dans Microsoft Exchange

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

22 000 serveurs sont exposés à des failles zero-day dans Microsoft Exchange

11 octobre 2022 - L'équipe de relations publiques de TuxCare

Microsoft a annoncé que deux vulnérabilités critiques de son application Exchange sont exploitées par des attaquants. La société a également expliqué que plus de 22 000 serveurs dans le monde sont affectés.

"Pour l'instant, Microsoft a connaissance d'attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs. Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082", ont écrit les membres de l'équipe du Microsoft Security Response Center.

Les nouvelles vulnérabilités comprennent CVE-2022-41040, une vulnérabilité de falsification de requête côté serveur, et CVE-2022-41082, qui permet l'exécution de code à distance lorsque PowerShell est accessible à l'attaquant.

La vulnérabilité affecte les serveurs Exchange sur site et non le service Microsoft Exchange. Cependant, de nombreuses entreprises utilisent l'offre en nuage de Microsoft avec une offre qui utilise un mélange de matériel sur site et en nuage.

Selon o GSTC, les attaquants exploitent le zero-day pour infecter les serveurs avec des webshells, une interface texte qui leur permet d'émettre des commandes. Les webshells de l'entreprise contiennent des caractères chinois simplifiés, ce qui suggère que les pirates parlent couramment le chinois.

Les commandes émises portent également la signature du China Chopper, un webshell couramment utilisé par les acteurs de la menace parlant chinois, notamment les groupes de menaces persistantes avancées soutenus par la République populaire de Chine.

Le logiciel malveillant installé émule le service Web Exchange de Microsoft et se connecte également à l'adresse IP 137[.]184[.]67[.]33, qui est chiffrée en binaire.

Le logiciel malveillant envoie et reçoit ensuite des données cryptées avec une clé de cryptage RC4, qui est générée au moment de l'exécution.

Il est conseillé à tous les utilisateurs de serveurs Exchange sur site de prendre des mesures immédiates en appliquant une règle de verrouillage qui empêche les serveurs d'accepter des modèles d'attaque connus. La règle peut être appliquée en allant dans "IIS Manager > Default Web Site > URL Rewrite > Actions".

Microsoft recommande également aux utilisateurs de bloquer le port HTTP 5986, que les attaquants doivent exploiter pour utiliser CVE-2022-41082. Il est important que les entreprises adoptent d'autres mesures de sécurité pour empêcher leurs serveurs d'être exploités par des attaquants.

Les sources de cette pièce comprennent un article d'ArsTechnica.

Résumé
22 000 serveurs sont exposés à des failles zero-day dans Microsoft Exchange
Nom de l'article
22 000 serveurs sont exposés à des failles zero-day dans Microsoft Exchange
Description
Microsoft a annoncé que deux vulnérabilités critiques de son application Exchange sont exploitées par des attaquants.
Auteur
Nom de l'éditeur
Tuxcare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information