Actualités

“Patcher un système ne supprime pas nécessairement l’accès de l’attaquant” : les dernières recommandations de Microsoft pour les failles sous Exchange Server !

Malgré l’annonce récente, en semaine dernière, d’un fort taux d’application du patch correctif, Microsoft poursuit ses préconisations aux administrateurs-systèmes ou responsables de solutions-serveurs Exchange : depuis le début du mois de Mars, Proxylogon permet de détourner l’authentification pour s’introduire sur ce type de serveurs et exécuter du code malveillant. Ciblant le port 443, la cyber-attaque permet, en finalité d’écrire, modifier ou supprimer du contenu tout en ouvrant la porte, en aparté, à une nouvelle lignée de ransomwares…

 

 

“Dans les trois semaines qui ont suivi la divulgation des vulnérabilités du serveur Exchange et la publication des mises à jour de sécurité, Microsoft a vu de nombreux autres attaquants adopter l’exploit dans leurs boîtes à outils. Les attaquants sont connus pour travailler rapidement à l’ingénierie inverse des correctifs et développer des exploits. Dans le cas d’une vulnérabilité d’exécution de code à distance (RCE), les récompenses sont élevées pour les attaquants qui peuvent accéder avant qu’une organisation ne corrige, car patcher un système ne supprime pas nécessairement l’accès de l’attaquant“, indique le billet sécuritaire de Microsoft, le 25 Mars 2021 qui, de manière générale, préconise un principe de “moindre privilège” en terme de mentalité tout en veillant à attribuer un champ d’action, par compte Exchange donné (suivant son rôle), le moins étendu possible quand cela n’est pas, forcément, nécessaire.

 

Le cas du ransomware DoejoCrypt (DearCry) est mis en exergue du fait qu’il semblait être dans les premiers ransomwares à profiter de la manne insécuritaire sous Exchange, celui-ci étant impacté sur quasi-l’ensemble des versions, pour rappel. “Étant donné les configurations que les administrateurs utilisent généralement sur les serveurs Exchange, de nombreux systèmes compromis sont susceptibles d’avoir eu au moins un service ou une tâche planifiée configuré avec un compte hautement privilégié pour effectuer des actions telles que des sauvegardes. Comme les informations d’identification du compte de service ne sont pas fréquemment modifiées, cela pourrait offrir un grand avantage à un attaquant même s’il perd son accès initial au shell Web en raison d’une détection antivirus, car le compte peut être utilisé pour élever les privilèges plus tard”.

 

D’autres exemple de post-exploitation de Proxylogon sont donnés comme le botnet lemon duck qui, par command-and-control permettra, entre-autres, de télécharger des logiciels de type RAT (action distante) depuis PowerShell. L’ensemble des explications (avec des conseils dont le principal : encore une fois, il faut veiller à avoir des comptes Exchange proportionnels à leur rôle, en terme de permission et de pertinence, existence) est à retrouver sur le billet… A veiller !

 

 

Source : Blog Microsoft Security – 25 Mars 2021 – Exchange Server (ProxyLogon faille) : recommandations de Microsoft sur les actions à mener, en complément de l’application du patch.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0