jeudi, avril 25, 2024

ThePressFree

Blog d'actualité

News 

Les vulnérabilités d’Exchange Server sont exploitées avec des ransomwares, selon Microsoft

ThePressFree Aucun commentaire


Les acteurs de la menace exploitent les vulnérabilités de Microsoft Exchange Server en installant une nouvelle souche de ransomware sur des serveurs non protégés.

Le chercheur sur les menaces de Microsoft Phillip Misner a confirmé les rapports de presse jeudi soir sur Twitter. La nouvelle famille de ransomwares à commande humaine est détectée sous le nom de Ransom: Win32 / DoejoCrypt.A, et reçoit le surnom de DearCry car elle ajoute cela au début des fichiers cryptés. Il ajoute l’extension .CRYPT à ces fichiers.

Michael Gillespie du site Web ID Ransomware, qui aide à identifier les souches de ransomware, a également déclaré dans un tweet que le site avait soudainement vu plusieurs soumissions avec des adresses IP de serveurs Exchange au Canada, aux États-Unis et en Australie. Gillespie a dit Ordinateur Bleeping que les soumissions ont commencé le 9 mars.

Les rapports initiaux n’indiquaient pas quel groupe de menaces utilise cette nouvelle arme.

«Le fait que les cybercriminels puissent désormais accéder facilement à un très grand nombre de serveurs Exchange est évidemment préoccupant, en particulier pour les petites entreprises qui n’ont peut-être pas la capacité de déterminer si elles ont été compromises, et encore moins de procéder à des mesures correctives», a déclaré Brett Callow, chercheur sur les menaces basé en Colombie-Britannique pour Emisoft. «Nous avons vraiment besoin que les gouvernements interviennent rapidement et fournissent aux entreprises les ressources dont elles ont besoin pour sécuriser leur environnement. « 

Certains cyber gangs recueillent des téraoctets de renseignements open source sur les logiciels Internet. Une fois qu’une vulnérabilité zero-day apparaît, ils vendent des listes compilées d’adresses IP ou d’URL connues pour exécuter le logiciel vulnérable à d’autres gangs, selon Ilya Kolochenko, fondateur et architecte en chef d’ImmuniWeb SA. «Cela renforce à la fois la rapidité et l’efficacité de l’exploitation. Combinées aux ransomwares, ces campagnes de piratage génèrent des profits énormes et faciles aux auteurs.

«Cependant, aujourd’hui, je ne vois aucun risque particulier dans l’exploitation continue des failles de Microsoft Exchange. Premièrement, certains des jours zéro nécessitent des conditions d’exploitation spéciales, telles qu’un compte utilisateur ou une interface Web accessible pour le SSRF RCE (exécution de code à distance de falsification de requête côté serveur) », a expliqué Kolochenko. «Ainsi, les organisations violées n’ont probablement pas réussi à mettre en œuvre certains processus de renforcement de la sécurité ou IDR. De plus, les organisations qui ne sont toujours pas corrigées font probablement preuve d’une négligence grave et ont probablement déjà été compromises par une myriade d’autres vulnérabilités et vecteurs d’attaque. »

Les tentatives d’exploitation ont doublé

Check Point Software rapporte que les acteurs de la menace ne perdent pas de temps à trouver des moyens de tirer parti des vulnérabilités. Jeudi, il a déclaré qu’au cours des dernières 24 heures, le nombre de tentatives d’exploitation sur les organisations qu’il suit a doublé toutes les deux à trois heures.

Les vulnérabilités, surnommées par certains chercheurs ProcyLogon, permettent à un attaquant de lire des e-mails à partir d’un serveur Exchange sans authentification ni accéder au compte de messagerie d’un individu. Un enchaînement supplémentaire des vulnérabilités permet aux attaquants de prendre complètement le contrôle du serveur de messagerie lui-même.

Deux entreprises d’intervention en cas d’incident ont déclaré Monde des TI au Canadaune d’au moins cinq entreprises canadiennes dont les serveurs Exchange sur site avaient été compromis. C’était avant que Microsoft n’annonce la découverte des vulnérabilités le 2 mars.

Les informations selon lesquelles les ransomwares sont désormais exploités contre les serveurs Exchange vulnérables rendent plus impératif que les administrateurs Exchange installent les correctifs de sécurité pour bloquer l’accès aux vulnérabilités et recherchent des indicateurs de compromission tels que les webshells et les portes dérobées que les intrus peuvent avoir laissés.

Plus tôt cette semaine, ESET a déclaré qu’au moins 10 groupes menaçants tentaient d’exploiter les vulnérabilités révélées publiquement par Microsoft pour la première fois le 2 mars. Cependant, ESET et d’autres chercheurs affirment qu’il existe des preuves que des groupes utilisaient les trous pour entrer dans des environnements Exchange sur site avant cela. Date.

Les administrateurs font de bons progrès dans l’application des correctifs, mais des milliers de serveurs Exchange restent vulnérables. Palo Alto Networks a déclaré jeudi soir que sa plate-forme de détection Expanse comptait 2700 serveurs vulnérables sur Internet, contre 4500 mardi. Aux États-Unis, le nombre de serveurs Exchange connectés à Internet non corrigés était de 20 000, contre 30 000 mardi. Il reste environ 80 000 serveurs non corrigés.

Dans un communiqué, Matt Kraning, directeur de la technologie de Cortex chez Palo Alto Networks, a déclaré qu’il s’agissait d’un territoire inconnu.

«Je n’ai jamais vu des taux de correctifs de sécurité aussi élevés pour aucun système, et encore moins pour un système aussi largement déployé que Microsoft Exchange», a-t-il déclaré. «Néanmoins, nous exhortons les organisations exécutant toutes les versions d’Exchange à supposer qu’elles ont été compromises avant de corriger leurs systèmes, car nous savons que les attaquants exploitaient ces vulnérabilités zero-day dans la nature pendant au moins deux mois avant que Microsoft ne publie les correctifs le 2 mars.»

Le jeudi, d’autres pays avec des serveurs Exchange connectés à Internet non corrigés comprennent:

  • Allemagne – 11000
  • Royaume-Uni – 4 900
  • France – 4 000
  • Italie – 3700
  • Russie – 2900
  • Suisse – 2500
  • Australie – 2200
  • Chine – 2100
  • Autriche – 1700
  • Pays-Bas – 1600

Recommanderiez-vous cet article?

Merci d’avoir pris le temps de nous dire ce que vous pensez de cet article!

Nous aimerions connaître votre opinion sur cette histoire ou sur toute autre histoire que vous lisez dans notre publication. Cliquez sur ce lien pour m’envoyer une note →

Jim Love, Chef du contenu, IT World Canada

Téléchargement connexe
Conversations sur la cybersécurité avec votre conseil Parrainer: CanadianCIO

Conversations sur la cybersécurité avec votre conseil d’administration – Un guide de survie
GUIDE DE SURVIE PAR CLAUDIO SILVESTRI, VICE-PRÉSIDENT ET CIO, NAV CANADA
Télécharger maintenant

Laisser un commentaire