Mise à jour des menaces – Exploitation massive de serveurs Exchange sur-site

Avantages pour l’IT, Détection de Menaces, Sécurité des données

Le 2 mars, Microsoft a publié une mise à jour logicielle urgente pour corriger 4 vulnérabilités critiques dans Exchange Server 2010, 2013, 2016 et 2019.

Nos équipes IR et Forensics aident activement les organisations à patcher, enquêter et remédier. Nous avons vu des attaquants utiliser ces failles pour obtenir un accès à distance aux serveurs Exchange et tenter ensuite d’exfiltrer des informations sensibles, y compris des boîtes aux lettres entières.

Sachez que les attaquants utiliseront probablement l’accès à distance à des serveurs Exchange hautement privilégiés pour passer à d’autres systèmes critiques, tels que les contrôleurs de domaine.

Microsoft a signalé que HAFNIUM, une APT parrainée par, et opérant depuis la Chine, a exploité ces vulnérabilités. Selon Microsoft, Exchange Online n’est pas concerné.

Si vous avez besoin d’aide, n’hésitez pas à contacter votre responsable de compte Varonis ou rendez-vous sur notre page de réponse aux incidents et nous ferons tout notre possible pour assurer votre sécurité, même si vous n’êtes pas un client actuel.

Aperçu des vulnérabilités

Quatre CVE sont exploitées dans l’attaque :

  • CVE-2021-26855 est une vulnérabilité SSRF (server-side request forgery) dans Exchange qui permet à l’attaquant d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que serveur Exchange.
  • CVE-2021-26857 est utilisé pour une escalade de privilèges afin d’obtenir des permissions SYSTEM sur le serveur.
  • CVE-2021-26858 et CVE-2021-27065 sont utilisés pour écrire des fichiers dans n’importe quel répertoire du serveur.
    Les groupes de menaces enchaînent ces vulnérabilités dans une chaîne d’attaque. Voir l’analyse de Volexity.

Exemple de flux d’attaque

  1. Cibler les serveurs Exchange vulnérables qui ont un HTTP 443 ouvert.
  2. Exploiter la vulnérabilité SSRF pour obtenir un accès et s’authentifier en tant que serveur Exchange.
  3. Atteindre le SYSTEM en exploitant CVE-2021-26857, exécuter du code malveillant et dumper les informations d’identification et les hachages (par exemple, ProcDump).
  4. Utiliser les permissions du serveur Exchange pour accéder directement au Contrôleur de Domaine afin d’élever les privilèges et/ou de créer une persistance.
  5. Extraire des informations sur les boîtes aux lettres et d’autres fichiers sensibles
  6. Installer WebShell, exfiltrer des informations et les télécharger sur des sites Web de partage de fichiers courants.

L’équipe Microsoft a publié des scripts PowerShell pour vous aider à rechercher des artefacts d’exploitation tels que des fichiers .aspx créés manuellement. Le chercheur Kevin Beaumont a également publié un script nmap rapide à mettre en œuvre pour trouver des serveurs potentiellement vulnérables dans votre environnement.

Comment se protéger

  • Assurez-vous que tous vos serveurs Exchange, à travers tous les domaines, sont entièrement corrigés. Cela signifie qu’il faut appliquer la dernière mise à jour cumulative et la dernière mise à jour de sécurité de Microsoft.
  • Vérifiez votre tableau de bord Varonis DatAlert pour :
    • Une activité anormale des comptes de service liés à Exchange – Abnormal activity by Exchange-related service accounts
    • Connexions externes malveillantes via le Web et le DNS (nécessite un proxy et une télémétrie DNS via Edge) – Malicious external connections via Web and DNS
    • Activité anormale d’accès aux données et d’authentification des périphériques provenant de serveurs de messagerie externes – Atypical data access and device authentication activity originating from external-facing mail servers
    • Activités atypiques de téléchargement externe, notamment de données sensibles (nécessite une classification) – Atypical external upload activities, especially sensitive data

Les modèles de menaces de Varonis identifient ces éléments et d’autres caractéristiques des Menaces persistantes avancées (APT).

Si vous remarquez une activité suspecte dans votre environnement, n’hésitez pas à nous contacter.

Prenez-soin de vous, et faites attention.

Merci à Snir BEN SHIMOL (Directeur de la Cybersécurité) & Eric SARAGA (Chercheur en Cybersécurité) pour la rédaction de la version originale anglaise de cet article.

Avatar

Adrien Rahmati-Georges

Ancien étudiant en informatique, diplômé de l'Ecole de Guerre Economique en Risques, Sûreté Internationale et Cybersécurité. Spécialisé en droit du numérique, Adrien travaille chez Varonis en tant que Coordinateur Marketing pour la région EMEA. Il vous fournit ici du contenu français et allemand, écrit par nos incroyables auteurs Varonis !

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.