Une nouvelle faille de Microsoft Exchange est utilisée pour attaquer les serveurs et fournir des outils d’accès à distance et des logiciels d’administration à distance, ont révélé des chercheurs.
Les experts en cybersécurité de CrowdStrike sont tombés sur une nouvelle chaîne d’exploitation alors qu’ils enquêtaient sur une attaque de rançongiciel Play. Après une analyse plus approfondie, il a été conclu que la chaîne d’exploitation contourne les atténuations de la faille de réécriture d’URL ProxyNotShell, permettant aux acteurs de la menace des privilèges d’exécution de code à distance (RCE) sur les terminaux cibles. (s’ouvre dans un nouvel onglet).
Ils ont surnommé l’exploit OWASSRF et ont expliqué que les attaquants utilisaient Remote PowerShell pour abuser des failles identifiées comme CVE-2022-41080 et CVE-2022-41082.
Excalation de privilèges sur les serveurs Exchange
« Il est apparu que les demandes correspondantes avaient été faites directement via le point de terminaison de l’application Web Outlook (OWA), indiquant une méthode d’exploitation non divulguée auparavant pour Exchange », ont expliqué les chercheurs dans un article de blog. (s’ouvre dans un nouvel onglet).
Lorsque Microsoft a découvert CVE-2022-41080 pour la première fois, il lui a attribué une note « critique », car il permettait l’élévation des privilèges à distance sur les serveurs Exchange, mais a également ajouté qu’il n’y avait aucune preuve que le bogue était exploité dans la nature. Par conséquent, il est difficile de déterminer si la faille a été abusée comme un jour zéro, avant même que le correctif ne soit disponible.
Cependant, le correctif est disponible et toutes les organisations disposant de serveurs Microsoft Exchange sur site sont invitées à appliquer au moins la mise à jour cumulative de novembre 2022 pour rester en sécurité. S’ils ne peuvent pas appliquer le correctif pour le moment, il est conseillé de désactiver OWA.
CrowdStrike pense que les attaquants utilisaient la faille pour fournir les outils d’accès à distance Plink et AnyDesk, ainsi que le logiciel d’administration à distance ConnectWise.
Les serveurs Microsoft Exchange sont une cible populaire pour les cybercriminels, mais l’entreprise est bien consciente de ce fait et a déployé diverses solutions pour essayer de protéger ses clients. Entre autres choses, il a annoncé qu’il désactiverait définitivement l’authentification de base Exchange Online début janvier 2023.
« À partir de début janvier, nous enverrons des messages du centre de messagerie aux locataires concernés environ 7 jours avant de modifier la configuration pour désactiver définitivement l’utilisation de l’authentification de base pour les protocoles concernés », a déclaré la société. « Peu de temps après la désactivation permanente de l’authentification de base, tous les clients ou applications se connectant à l’aide de l’authentification de base à l’un des protocoles concernés recevront une erreur de nom d’utilisateur/mot de passe/HTTP 401 incorrect. »
Depuis des années, Microsoft avertit les utilisateurs que l’authentification de base d’Exchange Online sera éventuellement supprimée et remplacée par une méthode d’authentification plus moderne.