MICROSOFT EXCHANGE : Des attaques 0-Day ont déjà touché 30.000 serveurs dans le monde

 

 

 

 

 

 

 

 

 

 

 

 

 Les autorités mettent en garde contre "l'exploitation nationale et internationale généralisée des vulnérabilités de Microsoft Exchange Server", alors il est impératif de mettre à jour ce logiciel dès maintenant.

Les recherches effectuées par les experts en sécurité dans le monde ont permis de découvrir que 4 vulnérabilités jusque-là inconnues ou «zero-day» dans Microsoft Exchange Server sont désormais utilisées dans des attaques généralisées contre des milliers d'organisations.

Microsoft a attribué les attaques à une équipe de piratage nouvellement découverte qu'elle appelle Hafnium, un groupe vraisemblablement soutenu par la Chine. Microsoft a déclaré qu'il s'agissait «d'attaques ciblées limitées», mais a averti qu'elles pourraient être plus largement exploitées dans un proche avenir.  

Les bogues sont suivis en tant que CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065. Le CI-CERT encourage vivement tous les clients Exchange Server à appliquer immédiatement les mises à jour.

De ce que nous savons aujourd’hui, Hafnium cible principalement les entités américaines dans la recherche sur les maladies infectieuses, les cabinets d'avocats, les établissements d'enseignement supérieur, les entrepreneurs de la défense, les groupes de réflexion politiques et les ONG, selon Microsoft.

Le résumé des vulnérabilités :

  • CVE-2021-26855 :est une vulnérabilité de falsification de requête côté serveur (SSRF) dans Exchange qui permettait à l'attaquant d'envoyer des requêtes HTTP arbitraires et de s'authentifier en tant que serveur Exchange.
  • CVE-2021-26857 : est une vulnérabilité de désérialisation non sécurisée dans le service de messagerie unifiée. La désérialisation non sécurisée est l'endroit où des données contrôlables par l'utilisateur non approuvées sont désérialisées par un programme. L'exploitation de cette vulnérabilité a donné à Hafnium la possibilité d'exécuter du code en tant que SYSTEM sur le serveur Exchange. Cela nécessite une autorisation d'administrateur ou une autre vulnérabilité à exploiter.
  • CVE-2021-26858 : est une vulnérabilité d'écriture de fichier arbitraire post-authentification dans Exchange. Si Hafnium pouvait s'authentifier auprès du serveur Exchange, alors ils pourraient utiliser cette vulnérabilité pour écrire un fichier sur n'importe quel chemin sur le serveur. Ils pourraient s'authentifier en exploitant la vulnérabilité SSRF CVE-2021-26855 ou en compromettant les informations d'identification d'un administrateur légitime.
  • CVE-2021-27065 :  est une vulnérabilité d'écriture de fichier arbitraire post-authentification dans Exchange. Si Hafnium pouvait s'authentifier auprès du serveur Exchange, alors ils pourraient utiliser cette vulnérabilité pour écrire un fichier sur n'importe quel chemin sur le serveur. Ils pourraient s'authentifier en exploitant la vulnérabilité SSRF CVE-2021-26855 ou en compromettant les informations d'identification d'un administrateur légitime.

NB : Selon certaines sources, les attaques auraient débuté depuis le début de l’année ( Janvier 2021 ).

Vous pouvez vérifier à l’aide de l’outil Test-ProxyLogon.ps1 si vous êtes vulnérables aux 0 Days de Microsoft Exchange Server.

Télécharger en pdf

AGENDA DES ASSISES NUMERIQUE EN COTE D’IVOIRE

 

La 2 ème Edition des Assises du Numérique en Côte d’Ivoire, se tiendra Les 17, 18 et 19 février 2021, à Abidjan au Radisson Blu hotel avec pour Thème : « Bilan et perspectives, 7 ans après la réforme du secteur des Télécoms/TIC et de la poste ».

Les Assisses du Numérique permettront de faire le bilan du secteur de l’économie numérique en Côte d’Ivoire au plan institutionnel, réglementaire et opérationnel afin de mieux cerner les forces et faiblesses.

Les Assises s’étendront sur trois journées et seront meublées de huit (08) sessions de travaux en atelier, de six (06) panels thématiques et d’une table ronde. Vous pouvez la suivre en présentiel ou en ligne en vous inscrivant à l’adresse : https://assisesdunumerique.ci/enregistrements/

Téléchargez  l’agenda des journées des assises numériques de la Côte d’Ivoire.

Alerte maliciel WhatsApp

  • NIVEAU DE CRITICITE : IMPORTANT

 

Dans le cadre de ses activités de monitoring et de veille, le CI-CERT a enregistré la circulation d’un vers informatique qui se propage à travers le réseau social WhatsApp. Il s’agit d’un logiciel malveillant qui se propage à travers les messages, à d’autres contacts, dans ce qui semble être une campagne adware, c’est-à-dire logiciel affichant de la publicité.

Dans le cas présent nous avons affaire à un adware malicieux dans la mesure où celui-ci se propage via WhatsApp de la victime en répondant automatiquement à toute notification de message WhatsApp reçue avec un lien vers une application mobile Huawei malveillante.

Comment se comporte exactement le vers ?

Le logiciel malveillant se fait passer pour une application mobile de Huawei en promettant de gagner des smartphones. Si l’utilisateur clique sur le lien malicieux, , il est redirigé vers un faux site web similaire à google Play Store.

Après installation, le logiciel malveillant incite les victimes à lui accorder l’accès à la notification, qui est ensuite abusée pour mener l’attaque. Le ver informatique va en fait se servir de la fonctionnalité de réponse rapide (utilisée pour répondre directement aux messages entrants via les pop-up de notification) pour se propager.

En l’état actuel des choses, l’application malveillante demande en plus de l’autorisation à lire les notifications, un accès intrusif d’exécution en arrière-plan. Cela sous-entend que l’application sera en mesure de superposer toute autre application en cours d’exécution sur l’appareil avec sa propre fenêtre qui peut être utilisée pour voler des informations d’identification et des informations sensibles.

Quelques recommandations :

  • Tenez-vous-en à des sources fiables pour télécharger des applications tierces.
  • Vérifiez si une application est effectivement construite par un développeur authentique.
  • Examinez attentivement les autorisations d’application avant l’installation.

FireEye lance un outil d'audit des réseaux pour identifier les techniques utilisées par les pirates de SolarWinds

La société de cybersécurité FireEye a publié aujourd'hui (19 janvier 2021) un rapport détaillant les techniques utilisées par les pirates de SolarWinds à l'intérieur des réseaux d'entreprises infectées par l'attaque "Sunburst".

Parallèlement au rapport, les chercheurs de FireEye ont également publié un outil gratuit sur GitHub appelé Azure AD Investigator qui, selon eux, peut aider les entreprises à déterminer si les pirates de SolarWinds (également connus sous le nom de UNC2452) ont utilisé l'une de ces techniques dans leurs réseaux.

Two Professional IT Programers Discussing Blockchain Data Network Architecture Design and Development Shown on Desktop Computer Display. Working Data Center Technical Department with Server Racks

Le rapport FireEye d'aujourd'hui intervient alors que la société de sécurité a mené des enquêtes sur la chaîne d'approvisionnement compromise de SolarWinds, en collaboration avec Microsoft et CrowdStrike.

Le piratage de SolarWinds a été découvert le 13 décembre 2020, lorsque FireEye et Microsoft ont confirmé qu'un acteur menaçant s'était introduit dans le réseau du fournisseur de logiciels informatiques SolarWinds et avait corrompu les mises à jour de l'application Orion avec des logiciels malveillants.

Le malware, connu sous le nom de Sunburst (ou Solorigate), était utilisé pour recueillir des informations sur les entreprises infectées. La plupart des 18000 clients SolarWinds qui ont installé une version cheval de Troie de l'application Orion ont été ignorés, mais pour certaines cibles sélectionnées, les pirates ont déployé une deuxième souche de malware connue sous le nom de Teardrop, puis ont utilisé plusieurs techniques pour escalader l'accès à l'intérieur du réseau local et aux ressources cloud de l'entreprise, avec un accent particulier sur la violation de l'infrastructure Microsoft 365.

Dans son rapport, FireEye a donné des détails sur les techniques de compromis post-initial, ainsi que les stratégies de détection, de correction et de renforcement que les entreprises peuvent appliquer.

En résumé, ces techniques sont les suivantes :

1.   Voler le certificat de signature de jetons ADFS (Active Directory Federation Services) et l'utilisez pour forger des jetons pour des utilisateurs arbitraires (parfois décrits comme l'attaque "Golden SAML"). Cela permettrait à l'attaquant de s'authentifier auprès d'un fournisseur de ressources fédérées (tel que Microsoft 365) comme n'importe quel utilisateur, sans avoir besoin du mot de passe de cet utilisateur ou de son mécanisme d'authentification multifacteur (MFA) correspondant.

2.   Modifier ou ajouter des domaines approuvés dans Azure AD pour ajouter un nouveau fournisseur d'identité (IdP) contrôlé par l'attaquant. Cela permettrait à l'attaquant de forger des jetons pour des utilisateurs arbitraires et est ainsi considéré comme une porte dérobée Azure AD.

3.   Compromettre les informations d'identification des comptes d'utilisateurs locaux synchronisés avec Microsoft 365 qui ont des privilèges élevés, tels que l'administrateur général ou l'administrateur d'applications.

4.   Détruir une application Microsoft 365 existante en lui ajoutant des informations d'identification non autorisées afin d'utiliser les autorisations légitimes attribuées à l'application, telles que la capacité de lire des e-mails, d'envoyer des e-mails en tant qu'utilisateur arbitraire, d'accéder aux calendriers des utilisateurs, etc., tout en contournant l'authentification à multi-facteurs (MFA - Multi-Factor Authentication).

«Alors que l'UNC2452 a démontré un niveau de sophistication et d'évasion, les techniques observées sont à la fois détectables et défendables», a déclaré aujourd'hui FireEye.

En fait, c'est la capacité de FireEye à détecter ces techniques à l'intérieur de son propre réseau qui a conduit l'entreprise à enquêter sur une brèche interne, puis à découvrir l'incident plus large de SolarWinds .

Des outils similaires à celui de FireEye ont également été publiés par l'agence américaine pour la cybersécurité et la sécurité des infrastructures (appelée Sparrow) et CrowdStrike (appelée CRT).

S'ABONNER À NOTRE NEWSLETTER

18 BP 2203 Abidjan 18 – Côte d’Ivoire
Téléphone : +225 27 20 34 42 63 
Fax : +225 27 20 34 43 75
Marcory Anoumanbo, Abidjan – Côte d’Ivoire

 

 

PARTENAIRES