Attaque de Microsoft Exchange : Suis-je concerné et que dois-je faire ensuite ?

Il est rare que des campagnes de cyber-espionnage aient l'ampleur de celle que connaît actuellement Microsoft Exchange Server. Quatre vulnérabilités ont été exploitées par un groupe de menaces en lien avec l’Etat chinois, selon Microsoft.

On pense qu'au moins 30 000 organisations ont déjà été attaquées aux États-Unis, mais le nombre pourrait être beaucoup plus important au niveau mondial, ce qui permet aux pirates de contrôler à distance les systèmes des victimes. Selon notre dernière vérification de Shodan, il y a encore environ 63 000 serveurs exposés à ces exploits.

L'application des correctifs disponibles doit être une priorité absolue, ou la déconnexion de tout serveur vulnérable en cours d'exécution si vous ne pouvez pas appliquer le correctif immédiatement. Pour l'instant, toute personne possédant un serveur Exchange doit prendre des mesures d'investigation pour vérifier les signes de compromission.

Nous faisons pleinement écho aux recommandations de Microsoft et d'autres organismes. En outre, les clients XDR existants peuvent utiliser des requêtes prédéfinies dans Trend Micro Vision One pour rechercher les signes de l'attaque dans leur environnement. Ces requêtes sont disponibles dans notre article de la base de connaissances, ainsi que des détails sur les détections et protections supplémentaires que les clients peuvent exploiter dans toutes les solutions de sécurité.

Que s'est-il passé ?

Les attaques remontent au 6 janvier 2021, date à laquelle un nouveau groupe de menaces, baptisé "Hafnium" par Microsoft, a commencé à exploiter quatre failles de type "jour zéro" dans Microsoft Exchange Server. Le groupe utilise des serveurs privés virtuels (VPS) situés aux États-Unis pour tenter de dissimuler sa véritable localisation. Microsoft a publié des correctifs d'urgence hors bande la semaine dernière, déclarant à l'époque :

"Dans les attaques observées, l'acteur de la menace a utilisé ces vulnérabilités pour accéder aux serveurs Exchange sur site, ce qui a permis d'accéder aux comptes de messagerie et d'installer des logiciels malveillants supplémentaires pour faciliter l'accès à long terme aux environnements des victimes."

Si elles étaient enchaînées, les vulnérabilités pourraient être exploitées pour permettre aux attaquants de s'authentifier en tant que serveur Exchange, d'exécuter du code en tant que Système et d'écrire un fichier sur n'importe quel chemin du serveur. Après avoir exploité les quatre failles, Hafnium déploie des shells web qui permettent au groupe de voler des données et d'effectuer des actions malveillantes supplémentaires pour compromettre davantage leurs cibles. Cela pourrait inclure le déploiement d'un ransomware sur les organisations victimes.

La Maison Blanche et l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) sont extrêmement préoccupées par les conséquences considérables de cette campagne. La CISA a ordonné aux agences gouvernementales d'appliquer des correctifs dès maintenant ou de déconnecter leurs serveurs Exchange sur site.

Il existe également un lien possible avec la recherche Chopper ASPX web shell que nous avons publiée en janvier 2021. Trend Micro Research analyse actuellement la manière dont les campagnes peuvent être liées et si d'autres campagnes connexes peuvent être en cours.

Suis-je concerné ?

Dans son évaluation initiale, Microsoft affirme qu’Hafnium a déjà ciblé des organisations dans des secteurs tels que la recherche sur les maladies infectieuses, le droit, l'enseignement supérieur, la défense, les groupes de réflexion politique et les ONG. Toutefois, certains suggèrent que la dernière vague d'attaques de grande ampleur pourrait être l'œuvre d'autres acteurs de la menace. Quelle que soit la source, l'ancien patron du CISA, Chris Krebs, prévient que les PME, les organisations du secteur de l'éducation et les administrations locales et d'État pourraient être touchées de manière disproportionnée, car elles ont souvent moins de ressources à consacrer à la sécurité.

Si vous utilisez des serveurs Exchange sur site, voici comment vérifier si vous êtes concerné :

  • Analysez les journaux de votre serveur Exchange avec l'outil de détection de Microsoft pour vérifier la compromission.
  • Effectuez un balayage manuel avec Trend Micro Vision One pour rechercher les indicateurs de compromission (IoC) connus associés à cette campagne.

 

Que se passe-t-il ensuite ?

Si vous avez exécuté un scan et constaté que votre environnement n'a pas encore été compromis, et que vous n'avez pas encore appliqué de correctif, appliquez les correctifs publiés par Microsoft dès que possible.

Si vous exécutez l'analyse à l'aide de l'outil de Microsoft et que vous trouvez des preuves qu'un attaquant a pu exploiter ces vulnérabilités dans votre environnement, vous êtes maintenant en mode de réponse aux incidents.

Mais l'approche que vous adoptez peut dépendre de vos ressources internes et de votre situation. Voici nos conseils pour les PME et les grandes entreprises.

  1. Si vous n'avez pas d'équipe de sécurité en interne, contactez votre fournisseur de sécurité ou votre MSP pour obtenir de l'aide.
  2. Si vous disposez d'une équipe interne de réponse aux incidents, elle s'efforcera d'identifier les prochaines étapes.
  3. Ne réimagez pas de machines avant d'avoir effectué une analyse médico-légale pour vous assurer que vous avez préservé toutes les informations de contrôle interne.
  4. Contactez votre équipe juridique pour discuter des exigences en matière de notification des violations.

 

Pour plus d'informations sur les détections et les protections supplémentaires de Trend Micro spécifiques à cette campagne, veuillez consulter cet article de la base de connaissances, qui sera mis à jour au fur et à mesure de l'obtention d'informations supplémentaires : https://success.trendmicro.com/solution/000285882.