Varonis debuts trailblazing features for securing Salesforce. Learn More

Skip navigation

Inside Out Security

Inside Out - Blog CyberSécurité Blog   /   Sécurité des données   /   Produits Varonis

Mise à jour des menaces – Exploitation massive de serveurs Exchange sur-site

Adrien Rahmati-Georges
Adrien Rahmati-Georges
|

Clock for time it takes to read article 2 min read

|

Last updated March 10, 2021

Mise à jour des menaces - Exploitation massive de serveurs Exchange sur-site

Sommaire

    Le 2 mars, Microsoft a publié une mise à jour logicielle urgente pour corriger 4 vulnérabilités critiques dans Exchange Server 2010, 2013, 2016 et 2019.

    Nos équipes IR et Forensics aident activement les organisations à patcher, enquêter et remédier. Nous avons vu des attaquants utiliser ces failles pour obtenir un accès à distance aux serveurs Exchange et tenter ensuite d’exfiltrer des informations sensibles, y compris des boîtes aux lettres entières.

    Sachez que les attaquants utiliseront probablement l’accès à distance à des serveurs Exchange hautement privilégiés pour passer à d’autres systèmes critiques, tels que les contrôleurs de domaine.

    Microsoft a signalé que HAFNIUM, une APT parrainée par, et opérant depuis la Chine, a exploité ces vulnérabilités. Selon Microsoft, Exchange Online n’est pas concerné.

    Si vous avez besoin d’aide, n’hésitez pas à contacter votre responsable de compte Varonis ou rendez-vous sur notre page de réponse aux incidents et nous ferons tout notre possible pour assurer votre sécurité, même si vous n’êtes pas un client actuel.

    Aperçu des vulnérabilités

    Quatre CVE sont exploitées dans l’attaque :

    • CVE-2021-26855 est une vulnérabilité SSRF (server-side request forgery) dans Exchange qui permet à l’attaquant d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que serveur Exchange.
    • CVE-2021-26857 est utilisé pour une escalade de privilèges afin d’obtenir des permissions SYSTEM sur le serveur.
    • CVE-2021-26858 et CVE-2021-27065 sont utilisés pour écrire des fichiers dans n’importe quel répertoire du serveur.
      Les groupes de menaces enchaînent ces vulnérabilités dans une chaîne d’attaque. Voir l’analyse de Volexity.

    Exemple de flux d’attaque

    1. Cibler les serveurs Exchange vulnérables qui ont un HTTP 443 ouvert.
    2. Exploiter la vulnérabilité SSRF pour obtenir un accès et s’authentifier en tant que serveur Exchange.
    3. Atteindre le SYSTEM en exploitant CVE-2021-26857, exécuter du code malveillant et dumper les informations d’identification et les hachages (par exemple, ProcDump).
    4. Utiliser les permissions du serveur Exchange pour accéder directement au Contrôleur de Domaine afin d’élever les privilèges et/ou de créer une persistance.
    5. Extraire des informations sur les boîtes aux lettres et d’autres fichiers sensibles
    6. Installer WebShell, exfiltrer des informations et les télécharger sur des sites Web de partage de fichiers courants.

    L’équipe Microsoft a publié des scripts PowerShell pour vous aider à rechercher des artefacts d’exploitation tels que des fichiers .aspx créés manuellement. Le chercheur Kevin Beaumont a également publié un script nmap rapide à mettre en œuvre pour trouver des serveurs potentiellement vulnérables dans votre environnement.

    Comment se protéger

    • Assurez-vous que tous vos serveurs Exchange, à travers tous les domaines, sont entièrement corrigés. Cela signifie qu’il faut appliquer la dernière mise à jour cumulative et la dernière mise à jour de sécurité de Microsoft.
    • Vérifiez votre tableau de bord Varonis DatAlert pour :
      • Une activité anormale des comptes de service liés à Exchange – Abnormal activity by Exchange-related service accounts
      • Connexions externes malveillantes via le Web et le DNS (nécessite un proxy et une télémétrie DNS via Edge) – Malicious external connections via Web and DNS
      • Activité anormale d’accès aux données et d’authentification des périphériques provenant de serveurs de messagerie externes – Atypical data access and device authentication activity originating from external-facing mail servers
      • Activités atypiques de téléchargement externe, notamment de données sensibles (nécessite une classification) – Atypical external upload activities, especially sensitive data

    Les modèles de menaces de Varonis identifient ces éléments et d’autres caractéristiques des Menaces persistantes avancées (APT).

    Si vous remarquez une activité suspecte dans votre environnement, n’hésitez pas à nous contacter.

    Prenez-soin de vous, et faites attention.

    Merci à Snir BEN SHIMOL (Directeur de la Cybersécurité) & Eric SARAGA (Chercheur en Cybersécurité) pour la rédaction de la version originale anglaise de cet article.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Twitter, Reddit, or Facebook.
    Adrien Rahmati-Georges
    Adrien Rahmati-Georges

    Former IT student, formed in Cybersecurity, Risks and Competitive Intelligence. As a Marketing Coordinator at Varonis, I am providing for the EMEA region, French and German content, written by our amazing Varonis authors !

    Nous sommes Varonis.

    Depuis 2005, nous protégeons les données les plus précieuses du monde des mains de vos ennemis grâce à notre plateforme de sécurité des données, leader sur le marché.

    We've been keeping the world's most valuable data out of enemy hands since 2005 with our market-leading data security platform.

    Comment fonctionne Varonis ?

    Keep reading