Microsoft a confirmé jeudi soir l’existence de deux vulnérabilités critiques dans son application Exchange qui ont déjà compromis plusieurs serveurs et représentent un risque sérieux pour environ 220 000 autres personnes dans le monde.
Les failles de sécurité actuellement non corrigées sont exploitées activement depuis début août, lorsque la société de sécurité vietnamienne GTSC a découvert que les réseaux clients avaient été infectés par des webshells malveillants et que le point d’entrée initial était une sorte de vulnérabilité Exchange. L’exploit mystérieux semblait presque identique à un Exchange zero-day de 2021 appelé ProxyShell, mais les serveurs des clients avaient tous été corrigés contre la vulnérabilité, qui est suivie comme CVE-2021-34473. Finalement, les chercheurs ont découvert que les pirates inconnus exploitaient une nouvelle vulnérabilité Exchange.
Webshells, portes dérobées et faux sites
« Après avoir réussi à maîtriser l’exploit, nous avons enregistré des attaques pour collecter des informations et créer un pied dans le système de la victime », ont écrit les chercheurs dans un article publié mercredi. « L’équipe d’attaque a également utilisé diverses techniques pour créer des portes dérobées sur le système affecté et effectuer des mouvements latéraux vers d’autres serveurs du système. »
Jeudi soir, Microsoft a confirmé que les vulnérabilités étaient nouvelles et a déclaré qu’il s’efforçait de développer et de publier un correctif. Les nouvelles vulnérabilités sont : CVE-2022-41040, une vulnérabilité de contrefaçon de requête côté serveur, et CVE-2022-41082, qui permet l’exécution de code à distance lorsque PowerShell est accessible à l’attaquant.
« À l’heure actuelle, Microsoft est au courant d’attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs », ont écrit des membres de l’équipe Microsoft Security Response Center. « Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082. » Les membres de l’équipe ont souligné que les attaques réussies nécessitent des informations d’identification valides pour au moins un utilisateur de messagerie sur le serveur.
La vulnérabilité affecte les serveurs Exchange sur site et, à proprement parler, pas le service Exchange hébergé de Microsoft. L’énorme mise en garde est que de nombreuses organisations utilisant l’offre cloud de Microsoft choisissent une option qui utilise une combinaison de matériel sur site et cloud. Ces environnements hybrides sont aussi vulnérables que les environnements autonomes sur site.
Les recherches sur Shodan indiquent qu’il existe actuellement plus de 200 000 serveurs Exchange sur site exposés à Internet et plus de 1 000 configurations hybrides.
-
Serveurs Exchange sur site au fil du temps.
-
Serveurs Exchange sur site par zone géographique.
-
Serveurs Exchange hybrides.
Le message GTSC de mercredi a déclaré que les attaquants exploitaient le jour zéro pour infecter les serveurs avec des webshells, une interface texte qui leur permet d’émettre des commandes. Ces webshells contiennent des caractères chinois simplifiés, ce qui conduit les chercheurs à supposer que les pirates parlent couramment le chinois. Les commandes émises portent également la signature du China Chopper, un webshell couramment utilisé par les acteurs de la menace de langue chinoise, y compris plusieurs groupes de menace persistante avancés connus pour être soutenus par la République populaire de Chine.
GTSC a poursuivi en disant que le logiciel malveillant que les pirates installent finalement émule le service Web Exchange de Microsoft. Il établit également une connexion à l’adresse IP 137[.]184[.]67[.]33, qui est codé en dur dans le binaire. Le chercheur indépendant Kevin Beaumont a déclaré que l’adresse héberge un faux site Web avec un seul utilisateur avec une minute de temps de connexion et n’est active que depuis août.
Kévin Beaumont
Le logiciel malveillant envoie et reçoit ensuite des données chiffrées avec une clé de chiffrement RC4 générée lors de l’exécution. Beaumont a poursuivi en disant que le logiciel malveillant de porte dérobée semble être nouveau, ce qui signifie que c’est la première fois qu’il est utilisé dans la nature.
Les personnes exécutant des serveurs Exchange sur site doivent prendre des mesures immédiates. Plus précisément, ils doivent appliquer une règle de blocage qui empêche les serveurs d’accepter des schémas d’attaque connus. La règle peut être appliquée en allant dans « Gestionnaire IIS -> Site Web par défaut -> Réécriture d’URL -> Actions ». Pour le moment, Microsoft recommande également de bloquer le port HTTP 5985 et le port HTTPS 5986, dont les attaquants ont besoin pour exploiter CVE-2022-41082.
L’avis de Microsoft contient une foule d’autres suggestions pour détecter les infections et prévenir les exploits jusqu’à ce qu’un correctif soit disponible.