Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Mise à jour des menaces – Exploitation massive de serveurs Exchange sur-site

Le 2 mars, Microsoft a publié une mise à jour logicielle urgente pour corriger 4 vulnérabilités critiques dans Exchange Server 2010, 2013, 2016 et 2019. Nos équipes IR et Forensics...
Adrien Rahmati-Georges
2 minute de lecture
Publié 10 mars 2021
Dernière mise à jour 5 octobre 2023

Le 2 mars, Microsoft a publié une mise à jour logicielle urgente pour corriger 4 vulnérabilités critiques dans Exchange Server 2010, 2013, 2016 et 2019.

Nos équipes IR et Forensics aident activement les organisations à patcher, enquêter et remédier. Nous avons vu des attaquants utiliser ces failles pour obtenir un accès à distance aux serveurs Exchange et tenter ensuite d’exfiltrer des informations sensibles, y compris des boîtes aux lettres entières.

Sachez que les attaquants utiliseront probablement l’accès à distance à des serveurs Exchange hautement privilégiés pour passer à d’autres systèmes critiques, tels que les contrôleurs de domaine.

Microsoft a signalé que HAFNIUM, une APT parrainée par, et opérant depuis la Chine, a exploité ces vulnérabilités. Selon Microsoft, Exchange Online n’est pas concerné.

Si vous avez besoin d’aide, n’hésitez pas à contacter votre responsable de compte Varonis ou rendez-vous sur notre page de réponse aux incidents et nous ferons tout notre possible pour assurer votre sécurité, même si vous n’êtes pas un client actuel.

Aperçu des vulnérabilités

Quatre CVE sont exploitées dans l’attaque :

  • CVE-2021-26855 est une vulnérabilité SSRF (server-side request forgery) dans Exchange qui permet à l’attaquant d’envoyer des requêtes HTTP arbitraires et de s’authentifier en tant que serveur Exchange.
  • CVE-2021-26857 est utilisé pour une escalade de privilèges afin d’obtenir des permissions SYSTEM sur le serveur.
  • CVE-2021-26858 et CVE-2021-27065 sont utilisés pour écrire des fichiers dans n’importe quel répertoire du serveur.
    Les groupes de menaces enchaînent ces vulnérabilités dans une chaîne d’attaque. Voir l’analyse de Volexity.

Exemple de flux d’attaque

  1. Cibler les serveurs Exchange vulnérables qui ont un HTTP 443 ouvert.
  2. Exploiter la vulnérabilité SSRF pour obtenir un accès et s’authentifier en tant que serveur Exchange.
  3. Atteindre le SYSTEM en exploitant CVE-2021-26857, exécuter du code malveillant et dumper les informations d’identification et les hachages (par exemple, ProcDump).
  4. Utiliser les permissions du serveur Exchange pour accéder directement au Contrôleur de Domaine afin d’élever les privilèges et/ou de créer une persistance.
  5. Extraire des informations sur les boîtes aux lettres et d’autres fichiers sensibles
  6. Installer WebShell, exfiltrer des informations et les télécharger sur des sites Web de partage de fichiers courants.

L’équipe Microsoft a publié des scripts PowerShell pour vous aider à rechercher des artefacts d’exploitation tels que des fichiers .aspx créés manuellement. Le chercheur Kevin Beaumont a également publié un script nmap rapide à mettre en œuvre pour trouver des serveurs potentiellement vulnérables dans votre environnement.

Comment se protéger

  • Assurez-vous que tous vos serveurs Exchange, à travers tous les domaines, sont entièrement corrigés. Cela signifie qu’il faut appliquer la dernière mise à jour cumulative et la dernière mise à jour de sécurité de Microsoft.
  • Vérifiez votre tableau de bord Varonis DatAlert pour :
    • Une activité anormale des comptes de service liés à Exchange – Abnormal activity by Exchange-related service accounts
    • Connexions externes malveillantes via le Web et le DNS (nécessite un proxy et une télémétrie DNS via Edge) – Malicious external connections via Web and DNS
    • Activité anormale d’accès aux données et d’authentification des périphériques provenant de serveurs de messagerie externes – Atypical data access and device authentication activity originating from external-facing mail servers
    • Activités atypiques de téléchargement externe, notamment de données sensibles (nécessite une classification) – Atypical external upload activities, especially sensitive data

Les modèles de menaces de Varonis identifient ces éléments et d’autres caractéristiques des Menaces persistantes avancées (APT).

Si vous remarquez une activité suspecte dans votre environnement, n’hésitez pas à nous contacter.

Prenez-soin de vous, et faites attention.

Merci à Snir BEN SHIMOL (Directeur de la Cybersécurité) & Eric SARAGA (Chercheur en Cybersécurité) pour la rédaction de la version originale anglaise de cet article.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
varonis-étend-sa-couverture-pour-aider-à-sécuriser-les-données-critiques-de-snowflake
Varonis étend sa couverture pour aider à sécuriser les données critiques de Snowflake
Varonis étend la couverture DSPM à Snowflake, améliorant ainsi la visibilité et la sécurité des données critiques de Snowflake.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.