Actualités

“Plus de 10 groupes de menaces” : les dernières mises en lumière des chercheurs ESET concernant les failles sous Microsoft Exchange ! (patch > appliquer le patch…)

L’actualité insécuritaire, concernant les failles 0-day de Microsoft Exchange se poursuit… l’équipe ESET vient de publier un rapport édifiant : celui-ci fait état non-pas d’un groupe de cyber-attaquant mais de plusieurs. Hafnium ne serait donc pas le seul à incriminer.

 

 

ESET Research a découvert que plus de dix groupes de menaces persistantes avancées (APT) différents exploitent les récentes vulnérabilités de Microsoft Exchange pour compromettre les serveurs de messagerie. ESET a identifié plus de 5 000 serveurs de messagerie qui ont été affectés par une activité malveillante liée à l’incident. Les serveurs appartiennent à des organisations – entreprises et gouvernements – du monde entier, y compris des plus prestigieuses”. Comme le montre le graphique ci-dessus – qui corrobore les aveux récents implicites de Microsoft à ce sujet – le patch sécuritaire déployé il y a quelques temps a été une manne pour certains cyber-attaquants. Cela arrive parfois : divulguer dans les premiers temps une vulnérabilité peut attiser les esprits du genre et accroître le danger de ladite vulnérabilité. Ainsi, après le patch, la courbe augmente puisqu’il est assez rare qu’un administrateur-système applique immédiatement, un correctif. Cela prend du temps, de l’argent (prestataire spécialisé ou externe) et peut, en attendant, créer plus de problème que de solutions. Microsoft ayant communiqué ces derniers jours, ceux et celles n’ayant pas appliqué le patch ont vu leurs serveurs Exchange pris pour cible”.

Un fait malheureusement confirmé par les chercheurs sécuritaires, dès le lendemain de la publication du patch correctif de Microsoft. Dans ce malheur – ou cette expérimentation, en créant une sorte de pot de miel avec les clients, comme appât… – il a été constaté que d’autres cyber-attaquants ont mordu à l’hameçon ; résultat : plus de 5 000 serveurs ont été l’objet d’une activité malveillante à ce niveau, soit plus de 115 pays. Voici la liste des 10 autres cyber-attaquants découverts et nommés par ESET :

 

  • Tick : cyber-attaque en Asie de l’Est. Exploit reposant sur des données avant la publication-correctif,
  • LuckyMouse : cyber-attaque au Moyen-Orient. Exploit reposant sur des données avant la publication-correctif,
  • Calypso : cyber-attaque au Moyen-Orient, Afrique, Asie, Europe Amérique du Sud. Exploit post publication-correctif,
  • Websiic : cyber-attaque en Asie, Europe de l’Est,
  • Winnti group : cyber-attaque en Asie. Exploit reposant sur des données avant la publication-correctif,
  • Tonto Team : cyber-attaque en Europe de l’Est,
  • ShadowPad : cyber-attaque en Asie, Moyen-Orient,
  • Opera Cobalt Strike : cyber-attaque aux États-Unis, Europe, Allemagne, Royaume-Uni. Exploit post publication-correctif,
  • Portes dérobées ISS : serveurs de messagerie compromis en Asie et Amérique du Sud. Owlproxy (porte dérobée) détectée,
  • Mikroceen : cyber-attaque en Asie centrale,
  • DLTMiner (PowerShell) : serveurs de messagerie compromis (pays ?).

En cas de compromis, les administrateurs doivent supprimer les webshells, modifier les informations d’identification et rechercher toute activité malveillante supplémentaire“, conclut ESET qui indique qu’avec ou sans failles évidentes, il faut patch obligatoirement Exchange Server… A veiller !

 

 

Source : ESET – 10 Mars 2021 – Microsoft Exchange, failles 0-day : de nouveaux groupes de cyber-attaquants mis en lumière et ciblant les serveurs de mails.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.5