Microsoft a confirmé que deux vulnérabilités zero-day non corrigées d’Exchange Server sont exploitées par des cybercriminels dans des attaques réelles.
La société vietnamienne de cybersécurité GTSC, qui a découvert les failles pour la première fois dans le cadre de sa réponse à l’incident de cybersécurité d’un client en août 2022, a déclaré que les deux jours zéro avaient été utilisés dans des attaques contre les environnements de leurs clients depuis début août 2022.
Le centre de réponse de sécurité de Microsoft (MRSC) a déclaré jeudi dans un article de blog que les deux vulnérabilités ont été identifiées comme CVE-2022-41040, une vulnérabilité de contrefaçon de demande côté serveur (SSRF), tandis que la seconde, identifiée comme CVE-2022-41082 , permet l’exécution de code à distance sur un serveur vulnérable lorsque PowerShell est accessible à l’attaquant.
« Pour le moment, Microsoft est au courant d’attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs », a confirmé le géant de la technologie.
Microsoft a noté qu’un attaquant aurait besoin d’un accès authentifié au serveur Exchange vulnérable, tel que des informations d’identification volées, pour exploiter avec succès l’une des deux vulnérabilités, qui affectent Microsoft Exchange Server 2013, 2016 et 2019 sur site.
Microsoft n’a pas partagé d’autres détails sur les attaques et a refusé de répondre à nos questions. La société de sécurité Trend Micro a attribué aux deux vulnérabilités des notes de gravité de 8,8 et 6,3 sur 10.
Cependant, GTSC rapporte que les cybercriminels ont enchaîné les deux vulnérabilités pour créer des portes dérobées sur le système de la victime et également se déplacer latéralement à travers le réseau compromis. « Après avoir réussi à maîtriser l’exploit, nous avons enregistré des attaques pour collecter des informations et créer un pied dans le système de la victime », a déclaré GTSC.
GTSC a déclaré qu’il soupçonnait qu’un groupe de menaces chinois pourrait être responsable des attaques en cours, car la page de code Webshell utilise un codage de caractères pour le chinois simplifié. Les attaquants ont également déployé le webshell China Chopper dans des attaques pour un accès à distance persistant, qui est une porte dérobée couramment utilisée par les groupes de piratage parrainés par l’État chinois.
Le chercheur en sécurité Kevin Beaumont, qui a été parmi les premiers à discuter des découvertes du GTSC dans une série de tweets jeudi, a déclaré qu’il était conscient que la vulnérabilité était « activement exploitée dans la nature » et qu’il « peut confirmer qu’un nombre important de serveurs Exchange ont été piratés ».
Microsoft a refusé de dire quand les correctifs seraient disponibles, mais a noté dans son article de blog que le correctif à venir est sur une « chronologie accélérée ».
Jusque-là, la société recommande aux clients de suivre les mesures d’atténuation temporaires partagées par GTSC, qui impliquent l’ajout d’une règle de blocage dans IIS Manager. La société a noté que les clients Exchange Online n’ont pas besoin de prendre de mesures pour le moment, car les jours zéro n’affectent que les serveurs Exchange sur site.