Deux zero-days Microsoft Exchange exploités par des attaquants (CVE-2022-41040, CVE-2022-41082)

Deux zero-days Microsoft Exchange exploités par des attaquants (CVE-2022-41040, CVE-2022-41082)
Deux zero-days Microsoft Exchange exploités par des attaquants (CVE-2022-41040, CVE-2022-41082)

Les attaquants exploitent deux vulnérabilités zero-day (CVE-2022-41040, CVE-2022-41082) pour violer les serveurs Microsoft Exchange.

La nouvelle des attaques a éclaté mercredi, lorsque des chercheurs de la société vietnamienne de cybersécurité GTSC ont publié un avertissement indiquant que «tout en fournissant un service SOC à un client, GTSC Blueteam a détecté des demandes d’exploit dans les journaux IIS avec le même format que la vulnérabilité ProxyShell».

À propos des vulnérabilités (CVE-2022-41040, CVE-2022-41082)

CVE-2022-41040 est une vulnérabilité SSRF (Server-Side Request Forgery) et CVE-2022-41082 permet l’exécution de code à distance lorsque PowerShell est accessible à l’attaquant, a expliqué Microsoft.

« À l’heure actuelle, Microsoft a connaissance d’attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs. Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082. Il convient de noter qu’un accès authentifié au serveur Exchange vulnérable est nécessaire pour exploiter avec succès l’une ou l’autre des deux vulnérabilités.

Les vulnérabilités affectent les versions 2013, 2016 et 2019 de Microsoft Exchange Server.

Malheureusement, même si les chercheurs vietnamiens ont informé Microsoft (via l’initiative Zero Day de Trend Micro) des failles il y a plusieurs semaines, il n’y a pas encore de correctifs.

“Microsoft Exchange Online a mis en place des détections et des mesures d’atténuation pour protéger les clients”, a déclaré Microsoft, mais a exhorté les administrateurs des installations sur site d’Exchange Server à mettre en œuvre des mesures d’atténuation, notamment l’ajout d’une règle de blocage et le blocage de certains ports.

Atténuation et détection

Les chercheurs de GTSC pensaient initialement que les attaquants exploitaient la vulnérabilité ProxyShell, mais une analyse plus approfondie a prouvé que les serveurs MS Exchange ciblés étaient à jour avec les correctifs, de sorte que la théorie selon laquelle ProxyShell était exploité a été rejetée.

Le chercheur en sécurité Kevin Beaumont dit qu’il semble que les correctifs ProxyShell du début de 2021 n’aient pas résolu le problème. “J’appelle ce ProxyNotShell, car il s’agit du même chemin et de la même paire SSRF/RCE qu’à l’époque… mais avec authentification.”

Les chercheurs de GTSC ont découvert les attaques début août et affirment que le but ultime des attaquants était de “créer des portes dérobées sur le système affecté et d’effectuer des mouvements latéraux vers d’autres serveurs du système”.

Le premier a été effectué en supprimant des webshells. “En utilisant l’agent utilisateur, nous avons détecté que l’attaquant utilise Antsword, un outil d’administration de site Web multiplateforme open Source actif basé en Chine qui prend en charge la gestion du webshell”, ont-ils partagé.

Le GTSC a fourni des indicateurs de compromission et des directives, ainsi qu’un outil permettant aux défenseurs d’analyser les fichiers journaux IIS à la recherche de preuves de compromission.

Microsoft et Trend Micro ont fourni des requêtes de détection et expliqué comment utiliser leurs solutions pour l’investigation et la correction.

“Un balayage rapide d’Internet suggère que de nombreuses organisations n’ont pas encore corrigé ProxyShell, ce qui est compréhensible étant donné le fonctionnement des correctifs Exchange”, a noté Beaumont, et a découvert (via Shodan) qu’il y a près de 250 000 serveurs Exchange vulnérables exposés sur le l’Internet.

En passant : plus tôt cette année, Microsoft a demandé aux chasseurs de bogues de sonder les serveurs Exchange et SharePoint sur site.

The article is in English

Tags: Deux zerodays Microsoft Exchange exploités par des attaquants CVE202241040 CVE202241082

.

PREV La mise à jour Samsung Galaxy Watch 5 apporte un nouveau cadran de montre Ball
NEXT Amberial Dreams est un jeu de plateforme physique musical intelligent