Actualités

Microsoft Serveur Exchange : 4 vulnérabilités 0-day colmatées hors cycle par Microsoft dont une de type SSRF !

Dans le but probable de dérober des détails et / ou de déployer des outils malveillants, ces exploits seraient l’œuvre des cyber-attaquants présentés sous le nom de HAFNIUM…

 

 

“Ces vulnérabilités sont utilisées dans le cadre d’une chaîne d’attaque. L’attaque initiale nécessite la possibilité d’établir une connexion non approuvée au port 443 du serveur Exchange. Cela peut être protégé en limitant les connexions non approuvées ou en configurant un VPN pour séparer le serveur Exchange de l’accès externe. L’utilisation de cette atténuation ne protégera que contre la partie initiale de l’attaque; d’autres parties de la chaîne peuvent être déclenchées si un attaquant a déjà accès ou peut convaincre un administrateur d’exécuter un fichier malveillant”, indique le billet du MSRC (Microsoft Security Response Center), le 2 Mars 2021.

Impactant les versions 2013, 2016 et 2019 d’Exchange Server, ces failles 0-day sont recensées au nombre de 4 ; en voici leur teneur synthétique :

 

  • CVE-2021-26855 : attaque distante sous forme de requête HTTP (depuis le port 443) pour permettre une authentification frauduleuse sous Exchange. La vulnérabilité exploite une attaque par SSRF : un exemple, en Octobre 2020, était démontré sous Azure ;

  • CVE-2021-26857 : attaque centrée autour du service de messagerie unifiée, elle cible les données non-sérialisées pour les détourner et les exploiter (via injection de code) en attaquant les serveurs Exchange. Des privilèges-administrateur sont requis pour cette attaque, souligne Microsoft ;

  • CVE-2021-26858 + CVE-2021-27065 : une fois authentifié sous Exchange, possibilité d’écriture ou re-écriture dans le système (n’importe quel endroit).

Le Web SHell a été utilisé pour détourner des informations ou déployer des outils insécuritaires. Concernant le groupe de cyber-attaquants, celui-ci viserait principalement les États-Unis et certains professionnels, dans les domaines suivants :

 

  • Secteur industriel,
  • Secteur médical (laboratoires spécialisés dans les maladies infectieuses),
  • Secteur juridique (avocats, cabinets d’avocats),
  • Secteur éducatif (enseignement supérieur),
  • Secteur militaire,
  • Secteur politique (collectifs et groupes, ONG).

Covenant, un framework (qui n’est pas malveillant en soi) open-source command-and-control, aurait été utilisé pour ce cyber-assaut ; MEGA, entre-autres, pour la récupération des données aspirées. Bien évidemment, la prudence invite à installer les dernières mises à jour ou de le signaler à l’administrateur-système qui aura déjà, probablement, procédé à ces mises à jour… A veiller !

 

 

Source : Microsoft – 2 Mars 2021 – Exchange Server : 4 failles 0-day corrigées et qui serait l’œuvre de HAFNIUM.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.7.2