Faille du serveur MS Exchange : le déploiement d'un keylogger est révélé
Selon une révélation récente, un acteur malveillant non identifié exploite les vulnérabilités de Microsoft Exchange Server pour infiltrer les systèmes à l'aide d'un logiciel malveillant de type "keylogger". logiciel malveillant enregistreur de frappeIl s'agit d'un logiciel malveillant de type enregistreur de frappe, qui cible diverses entités en Afrique et au Moyen-Orient. La société de cybersécurité Positive Technologies a révélé que cette campagne a touché plus de 30 organisations, allant d'agences gouvernementales à des institutions financières et des établissements d'enseignement. La première compromission enregistrée de la faille MS Exchange Server remonte à 2021.
La faille du serveur MS Exchange dévoilée
Positive Technologies a fait la lumière sur le mode opératoire de ce keylogger, indiquant qu'il collectait secrètement les informations d'identification des comptes, en les stockant dans un fichier accessible par une voie Internet spécifique. Selon les rapports des médiasla Russie, les Émirats arabes unis, le Koweït, Oman, le Niger, le Nigeria, l'Éthiopie, l'île Maurice, la Jordanie et le Liban font partie des pays touchés.
Les failles de sécurité des réseaux
Cette infiltration s'est appuyée sur des vulnérabilités connues sous le nom de bogues ProxyShell, spécifiquement repérés comme CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207. Ces failles, initialement corrigées par Microsoft en mai 2021, permettaient l'évasion d'authentification, l'élévation de privilèges et l'exécution de code à distance, ouvrant ainsi la voie à l'installation du keylogger sur la page principale du serveur Exchange.
La chaîne d'exploitation des vulnérabilités
La séquence des événements de la faille faille du serveur MS Exchange commence par l'exploitation des vulnérabilités de ProxyShell, facilitée par les acteurs de la menace. Ensuite, le déploiement d'un enregistreur de frappe est subrepticement ajouté à la page principale du serveur, plus précisément au fichier "logon.aspx". Cet ajout s'accompagne d'une injection de code destinée à capturer les informations d'identification, qui sont ensuite stockées dans un fichier accessible via l'internet lorsque l'utilisateur clique sur le bouton d'ouverture de session.
La distribution des logiciels malveillants constitue une menace menace importante pour la cybersécurité dans le monde entier. Malgré une enquête approfondie, Positive Technologies s'abstient d'attribuer ces attaques à un acteur ou à un groupe de menace spécifique, faute d'informations suffisantes.
Mesures de protection
Comprendre les différents vecteurs d'attaques informatiques est essentielle pour mettre en place des stratégies de défense complètes en matière de cybersécurité. Il est fortement conseillé aux organisations de mettre à jour leurs instances Microsoft Exchange Server avec la dernière version afin de réduire les risques liés à la confidentialité des données. les risques liés à la confidentialité des données. La protection des terminaux est essentielle pour protéger les appareils contre les cybermenaces en constante évolution.
En outre, une surveillance vigilante du système de la page principale du serveur Exchange est recommandée pour détecter tout signe de compromission, en particulier la présence d'un enregistreur de frappe dans le fichier "logon.aspx". Si une compromission est détectée, les organisations sont invitées à identifier et à supprimer le fichier stockant les données de compte volées.
Stratégies de réponse aux incidents
Assurer une sécurité solide sécurité du serveur de messagerie est primordiale dans le paysage numérique actuel. Dans le cadre de mesures de sécurité proactives, il est impératif que les organisations ne se contentent pas de mettre à jour rapidement leurs instances Exchange Server, mais qu'elles procèdent également à des évaluations approfondies pour garantir l'intégrité de leurs systèmes.
Incorporer renseignements sur les menaces dans les opérations de cybersécurité améliore les stratégies proactives de détection et d'atténuation des menaces. En restant vigilantes et en mettant en œuvre des protocoles de sécurité robustes, les organisations peuvent renforcer leurs défenses contre ces intrusions malveillantes.
Conclusion
Les vulnérabilités exploitables Microsoft Exchange Server pour déployer des logiciels malveillants de type keylogger souligne l'évolution constante du paysage des menaces de cybersécurité. menaces de cybersécurité auxquelles sont confrontées les organisations du monde entier. En restant informé, en adoptant des des mises à jour de sécurité proactives comme la gestion des correctifset en collaborant avec des experts en cybersécurité, les entités peuvent protéger leurs actifs numériques et maintenir l'intégrité de leurs opérations face aux menaces émergentes.
Les sources de cet article comprennent des articles dans The Hacker News et SC Media.