• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

Microsoft : mise en lumière de deux nouvelles vulnérabilités 0-day sous Exchange dont une de type SSRF ! (ça recommence…)

Alors que la Toussaint approche, Microsoft refait quelques frayeurs avec ses serveurs Exchange : ces derniers sont, à nouveau, impactés par deux vulnérabilités dont une de type SSRF (Server-Side Request Forgery), ce qui n’est malheureusement pas sans rappeler les failles ProxyShell, mise en lumière en Mars 2021 avant de voir toute une cascade d’exploits insécuritaires et de re-utilisation – par ransomware via BlackCat ! – notamment jusqu’en Juin 2022

 

 

Vulnérabilités 0-day mises en lumière depuis Août 2022, ici, par l’équipe GTSC, il est indiqué que les travaux précédents ont permis de limiter la viralité et surtout d’augmenter la détection de ces exploits (sous Exchange) avec, pour l’une des failles, une attaque distante (RCE) ; jusqu’à un exploit SSRF pour l’autre faille : “GTSC SOC a découvert qu’une infrastructure critique était attaquée, en particulier sur son application Microsoft Exchange. Au cours de l’enquête, les experts de la GTSC Blue Team ont déterminé que l’attaque utilisait une vulnérabilité de sécurité Exchange non publiée, c’est-à-dire une vulnérabilité de 0 jour […] La vulnérabilité s’avère si critique qu’elle permet à l’attaquant de faire du RCE sur le système compromis. GTSC a immédiatement soumis la vulnérabilité à la Zero Day Initiative (ZDI) pour travailler avec Microsoft afin qu’un correctif puisse être préparé dès que possible. ZDI a vérifié et reconnu 2 bogues, dont les scores CVSS sont de 8,8 et 6,3 […] nous avons confirmé que ces systèmes étaient attaqués à l’aide de cette vulnérabilité 0-day“, est-il indiqué dans le billet sécuritaire des chercheurs, le 28 Septembre 2022.

 

Pour des raisons de sécurité, l’exploit ou PoC complet n’est pas encore totalement publié (notamment le modus operandi) : un bout d’échantillon (DLL) est expliqué en primeur mais de manière assez générale. Dans le cas pratique expliqué par les chercheurs, il est notamment décrit un algorithme chiffré (AES) et les composantes de la chaîne (16 premier octets pour la demande-valeur + 16 octets suivants clé-valeur + reste des octets pour les “données“). Plusieurs méthodes de déchiffrement (code) ont été observés avec plusieurs agencements, suivant la méthode de décompression exploitée, comme la création ou la suppression d’un fichier (ou son déplacement). Une fois la manipulation opérée, le DLL malicieux est versé en mémoire pour instiller les charges virales (les dossiers détournés ou vérolés) pour exécuter lesdîtes charges virales via le Windows Management Interface Command (WMIC). “Parmi les fichiers suspects, sur la base des commandes exécutées sur le serveur, nous avons déterminé que all.exe et dump.dll sont responsables du vidage des informations d’identification sur le système serveur. Après cela, l’attaquant utilise rar.exe pour compresser les fichiers vidés et les copier sur la racine Web du serveur Exchange“. Il est noté, de plus, que le fichier (légitime) RedirSuiteServiceProxy.aspx est modifié en teneur.

 

Une fois l’exploit (en attente de publication, donc) opéré, les vulnérabilités pourront :

  • Créer des portes dérobées,
  • Effectuer des mouvements latéraux,
  • Analyse, vérifications des connexions,
  • Téléchargement de fichiers (via certutil),
  • Analyse et collecte de données,
  • Ex-filtration de données.

 

Selon les propos et recherches de l’équipe GTSC, un outil de back-office “multi-plateforme open-source” nommé Antsword a été détecté : celui-ci serait surtout utilisé en Chine, notamment pour le support de ressources sous WebShell. A cela, s’ajoute le fait que l’encodage de caractères (936) correspond au langage Chinois simplifié et que la plupart des lignes de commandes finissent par “string echo”, un marqueur-signature de China Chopper (WebShell).

En attendant le déploiement d’un correctif, une solution temporaire est proposée, pour limiter l’impact critique de ces deux vulnérabilités, en créant une règle pour bloquer les appels-requêtes malveillantes découlant de ces deux failles depuis le module URR (URL Rewrite Rule) du serveur IIS  :

 

  • Depuis Autodiscover (FrontEnd), onglet URL Rewrite, cliquer sur Request Blocking,
  • Création string *autodiscover\.json.*\@.*Powershell.* (chemin URL),
  • Sélectionner en condition {REQUEST_URI}.

 

Assignées CVE-2022-41040 (SSRF) et CVE-2022-41082 (RCE) par Microsoft, depuis le 29 Septembre 2022 (répercutées dans le programme ZDI, Zero Day Initiative de TrendMicro), il est préconisé, en plus de cette mesure d’atténuation temporaire, de bloquer les ports 5985 (HTTP) et 5986 (HTTPS), en attendant un correctif de l’éditeur.

 

Microsoft enquête sur deux vulnérabilités zero-day signalées affectant Microsoft Exchange Server 2013, 2016 et 2019. La première vulnérabilité, identifiée comme CVE-2022-41040, est une vulnérabilité Server-Side Request Forgery (SSRF), tandis que la seconde, identifiée comme CVE-2022-41082, permet l’exécution de code à distance (RCE) lorsque PowerShell est accessible à l’attaquant. À l’heure actuelle, Microsoft a connaissance d’attaques ciblées limitées utilisant les deux vulnérabilités pour pénétrer dans les systèmes des utilisateurs. Dans ces attaques, CVE-2022-41040 peut permettre à un attaquant authentifié de déclencher à distance CVE-2022-41082. Il convient de noter qu’un accès authentifié au serveur Exchange vulnérable est nécessaire pour exploiter avec succès l’une ou l’autre des deux vulnérabilités. Nous travaillons sur un calendrier accéléré pour publier un correctif“… A veiller !

 

 

 

Sources :

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.14.0