sam. Déc 3rd, 2022

De nombreuses failles de sécurité dans le serveur Exchange de Microsoft ouvrent la porte aux attaquants. Plus récemment, le rançongiciel Lockbit.

Les attaquants ont exploité une vulnérabilité zero-day dans le serveur Exchange de Microsoft pour installer le rançongiciel Lockbit. Avec toutes les conséquences imaginables que cela implique. Cependant, lorsque l’on recherche la vulnérabilité exploitée, il s’avère qu’Exchange en possède plusieurs.

Le rançongiciel Lockbit installé via une vulnérabilité zero-day

Les pirates exploitent activement une vulnérabilité zero-day dans le serveur Exchange de Microsoft pour installer le populaire rançongiciel Lockbit. Grâce à un incident enquêté de juillet 2022, les chercheurs en sécurité ont pu identifier un shell Web mis en place par les attaquants. En conséquence, les cybercriminels ont obtenu des droits administratifs afin de finalement capturer 1,3 To de données et chiffrer les systèmes.

Selon BleepingComputer, des chercheurs de la société de cybersécurité AhnLab ont découvert que les attaquants étaient capables de détourner un compte administrateur Active Directory dans la semaine suivant la configuration du shell Web.

Étant donné que la victime de l’attaque fournissait régulièrement à ses serveurs des mises à jour de sécurité, les chercheurs en sécurité supposent que les attaquants ont exploité une vulnérabilité zero-day dans le serveur Exchange. Ils étayent leur hypothèse en disant que ce sera après mai »aucun rapport de vulnérabilités connues liées aux commandes à distance ou à la création de fichiers » a donné. Et le shell Web n’a finalement été créé que le 21 juillet.

Le serveur Exchange de Microsoft a plus d’une vulnérabilité

Un porte-parole de Microsoft a déclaré que la société voulait enquêter sur l’incident. Il prendra également toutes les mesures nécessaires pour protéger ses clients. Et bien que le géant du logiciel travaille déjà sur deux vulnérabilités connues (CVE-2022-41040, CVE-2022-41082) dans le serveur Exchange, que la société de sécurité vietnamienne GTSC a découvertes le 28 septembre, les chercheurs d’AhnLab pensent qu’il pourrait s’agir d’une vulnérabilité différente dans le cas sur lequel ils enquêtent. Parce que les tactiques d’attaque ne semblent pas se chevaucher.

Voir aussi  Mastodon : une vulnérabilité permettait de voler des informations d'identification

Cette circonstance ne garantit pas que l’attaque n’est pas basée sur les vulnérabilités connues. Encore Piotr Bazydlo, un chercheur en sécurité de Zero Day Initiative, a confirmé les hypothèses des chercheurs d’AhnLab en découvrant trois vulnérabilités supplémentaires dans le serveur Exchange (ZDI-CAN-18881, ZDI-CAN-18882 et ZDI-CAN-18932). Il l’a signalé à Microsoft il y a quelques semaines à peine.

Microsoft lui-même n’a pas encore publié d’informations sur ces trois vulnérabilités. Il n’y a pas encore d’identifiant CVE.

Le fait que le serveur Exchange ne se soit transformé que récemment en une fronde de courrier électronique de phishing ne convient pas particulièrement bien au logiciel établi. Exchange a évidemment plus d’un problème de sécurité.