Les pirates des États-nations abusent d'une faille dans les serveurs Microsoft Exchange

0
46

Plusieurs pirates d'État ont commencé à exploiter une vulnérabilité des serveurs de messagerie Microsoft Exchange qui a été récemment corrigée.

L'entreprise de cybersécurité basée au Royaume-Uni, Volexity, a d'abord repéré la vulnérabilité exploitée dans la nature, mais l'entreprise n'a nommé aucun des groupes de piratage impliqués.

La vulnérabilité, suivie sous l'identifiant CVE-2020-0688, a été corrigé par Microsoft le mois dernier. Si elle est exploitée, la vulnérabilité d'exécution de code à distance pourrait être utilisée pour lire tous les e-mails d'une organisation car elle donne aux attaquants le contrôle total d'un serveur de messagerie Microsoft Exchange.

Bien que Microsoft ait déjà corrigé la vulnérabilité, un rapport technique de Zero-Day Initiative, qui a signalé le bogue pour la première fois à la société, a fourni de nombreux détails sur le bogue et son fonctionnement. Ce rapport a servi de feuille de route pour les chercheurs en sécurité qui ont utilisé les informations qu'il contenait pour créer des exploits de preuve de concept afin de préparer leurs propres serveurs à d'éventuelles attaques.

Après la publication du rapport de Zero-Day Initiative, des groupes de pirates ont commencé à rechercher sur Internet des serveurs Exchange vulnérables contre lesquels ils pourraient lancer des attaques à l'avenir.

Armez la vulnérabilité

Dans un nouveau billet de blog, Volexity a révélé que les analyses des cybercriminels pour les serveurs Exchange vulnérables se sont transformées en attaques réelles, déclarant:

«Volexity a observé que plusieurs acteurs APT exploitaient ou tentaient d'exploiter des serveurs Exchange sur site. Dans certains cas, les agresseurs semblent avoir attendu une occasion de frapper avec des informations d'identification qui, autrement, n'auraient pas été utiles. De nombreuses organisations utilisent l'authentification à deux facteurs (2FA) pour protéger leur VPN, leur courrier électronique, etc., limitant ce qu'un attaquant peut faire avec un mot de passe compromis. Cette vulnérabilité donne aux attaquants la possibilité d'accéder à un actif important au sein d'une organisation avec un simple identifiant utilisateur ou un ancien compte de service. »

Heureusement, la vulnérabilité dans Exchange n'est pas facile à exploiter et pour ce faire, les pirates doivent avoir les informations d'identification d'un compte de messagerie sur le serveur qu'ils tentent d'attaquer. Cela signifie que les pirates informatiques moins avancés ne pourront pas le faire alors que les pirates des États-nations auront les ressources pour exploiter la vulnérabilité.

Tous les serveurs Microsoft Exchange sont considérés comme vulnérables à ces attaques, y compris les versions qui ont atteint leur fin de vie (EoL). Les organisations doivent appliquer le dernier correctif dès que possible et si elles exécutent une version EoL, elles doivent envisager de mettre à jour vers une version Exchange plus récente.

Via ZDNet

Les offres de produits Hi-tech en rapport avec cet article

Laisser un commentaire