Les cyber-incidents dus à des failles de sécurité ont toujours été, et sont toujours, un problème majeur de cybersécurité. Parmi les cyber-attaques notables qui ont exploité les vulnérabilités, on peut citer WannaCry, le vol de données d’Equifax, et Stuxnet, parmi beaucoup d’autres.
On a tendance à croire que les vulnérabilités de type zero-day représentent la plus grande menace, car les victimes ne sont pas conscientes du danger, mais c’est loin d’être vrai. Plus de 90 % des attaques réussies auraient pu être évitées simplement en appliquant des correctifs aux logiciels.
Vague d’attaques visant les serveurs Exchange
La semaine dernière, Microsoft a mis en garde contre une augmentation notable des tentatives de compromission des serveurs Exchange. Bien que beaucoup de ces attaques utilisent des techniques de phishing et d’ingénierie sociale dans leurs tentatives de compromettre les serveurs, les adversaires exploitent également une vulnérabilité d’exécution de code à distance affectant le composant IIS (Internet Information Service) sous-jacent d’un serveur Exchange ciblé.
Plus précisément, ils exploitent la vulnérabilité CVE-2020-0688 pour laquelle un correctif a été publié en février de cette année. Cette faille de sécurité implique que tous les serveurs Exchange de la dernière décennie utilisent des clés cryptographiques identiques pour le backend du panneau de contrôle. Cela signifie qu’un adversaire pourrait installer un logiciel malveillant et prendre le contrôle du serveur, obtenant ainsi l’accès au courrier électronique de la victime.
Pourquoi appliquer des correctifs ?
Lorsque Microsoft a annoncé cette vulnérabilité en février, de nombreuses organisations n’ont pas prêté attention et ont laissé leurs serveurs Exchange sans correctif, malgré les avertissements d’une recrudescence des attaques dans un avenir proche. En avril, les analystes de la sécurité ont noté qu’il y avait encore plus de 350 000 serveurs Exchange vulnérables exposés sur Internet.
Souvent, une fois qu’un adversaire a infiltré le serveur Exchange par une faille de sécurité, l’étape suivante consiste à déployer un shell web sur l’un des chemins d’accès au serveur accessibles depuis Internet.
Il s’agit d’outils utilisés par les pirates sur les serveurs compromis pour maintenir l’accès et exécuter des commandes à distance et du code arbitraire afin de livrer des charges utiles de logiciels malveillants et de se déplacer latéralement sur les réseaux.
Techniques de persistance
Une fois déployés, les assaillants utilisent le shell web pour explorer le domaine et, s’ils tombent sur un serveur mal configuré, ils ajoutent de nouveaux comptes à des groupes à haut niveau de privilèges comme les administrateurs, les utilisateurs de Remote Desktop, et les gérants d’entreprise.
Cela permet un accès illimité à tout utilisateur ou groupe de l’organisation. Les cybercriminels utilisent ensuite les outils Windows pour rechercher les informations d’identification des comptes utilisateurs afin de vider la mémoire du Local Security Authority Subsystem Service (LSASS) memory.
Afin d’obtenir une persistance en mémoire sans avoir à accéder au disque dur, les assaillants utilisent des logiciels libres, tels que Mimikatz. Lorsque des systèmes ont été mis en place pour détecter cet outil, ils utilisent une version modifiée à l’intérieur d’une enveloppe écrite dans le langage de programmation Go.
Les pirates essaient également de désactiver la protection antivirus et les fonctions d’analyse des fichiers. Ceci afin de protéger les fichiers .zip et d’autres outils de compression tels que rar.exe qui sont utilisés pour dissimuler les fichiers .pst volés et les vidages de mémoire.
Protégez vos serveurs Exchange
Une attaque sur un serveur Exchange peut permettre à des cybercriminels d’accéder à toutes sortes d’informations d’entreprise précieuses. C’est pourquoi il est si important de protéger ces serveurs.
Dans le cas présent, il est essentiel d’appliquer le correctif correspondant le plus rapidement possible. Cela empêchera l’infiltration de vos systèmes et la compromission de la sécurité de votre entreprise. Néanmoins, pour de nombreuses organisations, la gestion des failles de sécurité est un défi majeur, et elles ignorent souvent les vulnérabilités les plus critiques.
C’est pourquoi Panda Security a créé un portail dédié pour mettre en évidence les vulnérabilités les plus critiques. “Top Vulnerabilities 2020” est une liste des plus importantes failles de sécurité découvertes en 2020 et affectant Windows, avec des détails sur la gravité de la vulnérabilité, sur le fournisseur et le CVE.
Comme vous pouvez le voir, les vulnérabilités sont une menace constante pour tout type d’entreprise. Ne laissez pas des failles de sécurité non corrigées compromettre la sécurité de votre organisation.