Microsoft propose des conseils de chasse Webshell Exchange Server - Redmondmag.com

ad-midbar
ad-midbar
ad-midbar
ad-midbar

Microsoft propose des conseils de chasse Webshell Exchange Server - Redmondmag.com

Nouvelles

Microsoft propose des conseils de recherche Webshell pour Exchange Server

Microsoft a publié jeudi une description complète des méthodes d'attaque d'Exchange Server tirant actuellement parti de quatre failles zero-day dans ces produits, et a offert des conseils approfondis.

La bonne nouvelle est que les professionnels de l'informatique ont réagi assez rapidement en appliquant les correctifs de sécurité de Microsoft du 2 mars aux implémentations d'Exchange Server, selon l'estimation de Microsoft.

«À ce jour [25 mars], nous avons constaté une diminution significative du nombre de serveurs encore vulnérables - plus de 92% des adresses IP Exchange connues dans le monde sont désormais corrigées ou atténuées», indique l'annonce.

La mauvaise nouvelle est que les correctifs de sécurité de Microsoft de mars ne font qu'empêcher les attaques initiales. Ils ne protègent pas les systèmes déjà compromis. Les chercheurs en sécurité ont trouvé des Webshells abandonnés sur des systèmes compromis qui n'ont pas été détectés par les logiciels anti-malware, il est donc nécessaire que les professionnels de l'informatique vérifient les indicateurs de compromission, même si leurs serveurs Exchange ont été corrigés.

L'autre problème soulevé dans l'annonce de Microsoft est que les attaquants peuvent avoir utilisé les vulnérabilités d'Exchange Server pour établir des pistes pour des attaques ultérieures.

«En utilisant des mécanismes de persistance« sans malwares »tels que l'activation de RDP, l'installation d'outils Shadow IT et l'ajout de nouveaux comptes d'administrateur local, les attaquants espèrent échapper aux efforts de réponse aux incidents qui pourraient se concentrer exclusivement sur les shells Web, les analyses AV et les correctifs», annonce l'annonce expliqué.

Attaques Hafnium et Ransomware
Ces attaques d'Exchange Server ont été initialement attribuées à un groupe d'État-nation «Hafnium» lorsque Microsoft a publié des correctifs pour les vulnérabilités le 2 mars, l'espionnage étant le motif présumé. Cependant, certaines attaques ont laissé tomber les mineurs de crypto-monnaie ou les ransomwares sur les systèmes, avec des objectifs de gain financier.

L'annonce de Microsoft a caractérisé les attaques actuelles d'Exchange Server qui, selon lui, proviennent de «multiples acteurs de la menace».

DoejoCrypt a été le premier ransomware détecté par Microsoft en tirant parti des vulnérabilités d'Exchange Server. DoejoCrypt était une nouvelle forme de ransomware, mais les attaquants ont également déployé le ransomware Pydomer existant sur les systèmes Exchange Server. Pydomer était connu pour avoir exploité auparavant les vulnérabilités VPN Pulse Secure.

Microsoft a également détecté l'installation d'un malware de botnet Lemon Duck à des fins d'extraction de crypto-monnaie. Parfois, comme dans le cas des attaquants Lemon Duck, d'autres attaquants ont été supprimés avant d'installer le logiciel d'extraction de crypto-monnaie.

Jusqu'à présent, les attaques de ransomwares utilisant les vulnérabilités d'Exchange Server n'ont pas été étendues, a noté Microsoft:

Bien que le nombre total de ransomwares soit resté extrêmement faible à ce stade, il est important de se rappeler que ces menaces montrent à quelle vitesse les attaquants peuvent faire pivoter leurs campagnes pour tirer parti des vulnérabilités nouvellement révélées et cibler les systèmes non corrigés, démontrant à quel point il est essentiel pour les organisations de appliquez les mises à jour de sécurité dès que possible. Nous exhortons vivement les organisations à identifier et mettre à jour les serveurs Exchange locaux vulnérables, et à suivre les conseils d'atténuation et d'enquête que nous avons collectés et que nous continuons à mettre à jour ici: https://aka.ms/ExchangeVulns.

Les conseils de Microsoft
L'annonce de Microsoft jeudi contenait de nombreux détails sur ce qu'il fallait rechercher lors de l'enquête sur d'éventuelles violations d'Exchange Server, décrivant les Webshells utilisés par les attaquants et d'autres indicateurs de compromission.

Voici les étapes recommandées par Microsoft pour les organisations exécutant Exchange Server:

  • Recherchez des compromis sur les serveurs Exchange exposés, quel que soit l'état actuel de leur correctif.
  • Recherchez des web shells via notre orientation et lancez une analyse AV complète à l'aide du Outil d'atténuation Exchange sur site.
  • Recherchez les modifications apportées aux utilisateurs et groupes locaux, même aux utilisateurs non administratifs, et assurez-vous que tous les utilisateurs ont besoin d'un mot de passe pour se connecter. Les créations de nouveaux comptes d'utilisateur (représentées par l'ID d'événement 4720) pendant la période de vulnérabilité du système peuvent indiquer une création d'utilisateurs malveillants.
  • Réinitialisez et randomisez les mots de passe des administrateurs locaux avec un outil comme LAPS si vous ne le faites pas déjà.
  • Recherchez les modifications apportées à la configuration du RDP, du pare-feu, des abonnements WMI et de la gestion à distance Windows (WinRM) du système qui pourraient avoir été configurées par l'attaquant pour autoriser la persistance.
  • Recherchez l'ID d'événement 1102 pour déterminer si les attaquants ont effacé les journaux d'événements, une activité que les attaquants exécutent avec exe pour tenter de cacher leurs traces.
  • Recherchez de nouveaux mécanismes de persistance tels que des services inattendus, des tâches planifiées et des éléments de démarrage.
  • Recherchez les outils Shadow IT que les attaquants ont peut-être installés pour la persistance, tels que les clients RDP non-Microsoft et d'accès à distance.
  • Vérifiez les paramètres de transfert des e-mails au niveau de la boîte aux lettres (attributs ForwardingAddress et ForwardingSMTPAddress), vérifiez les règles de boîte de réception de la boîte aux lettres (qui peuvent être utilisées pour transférer les e-mails en externe) et vérifiez les règles de transport Exchange que vous ne reconnaissez peut-être pas.

Les conseils proviennent de l'équipe de renseignement sur les menaces de Microsoft 365 Defender.Par conséquent, les organisations auraient vraisemblablement besoin d'un outil d'enquête pour effectuer les analyses, tel que Microsoft Defender pour le service Endpoint ou Azure Sentinel, qui est la solution de gestion des informations et des événements de sécurité basée sur le cloud de Microsoft.

Les utilisateurs d'Azure Sentinel disposent désormais d'un nouveau guide sur l'utilisation de cette solution pour rechercher des Webshells, que Microsoft a publié jeudi.

Microsoft a ajouté des détections d'attaques Hafnium à sa solution de sécurité Microsoft Defender Antivirus, qui ajoutera des atténuations automatiques pour la principale méthode d'attaque Hafnium comme mesure temporaire. Il a également publié son outil d'atténuation Exchange sur site pour vérifier et réparer les systèmes, entre autres outils que les organisations peuvent utiliser.

A propos de l'auteur



Kurt Mackie est producteur principal de nouvelles pour le groupe Converge1105 de 360 Media.

Source

fond d'annonce
fond d'annonce
fond d'annonce
fond d'annonce

SANS COMMENTAIRES