IOTW : Microsoft Exchange, le FBI et le manque de correctifs

Le piratage de Microsoft Exchange est toujours en cours car certaines organisations n'ont pas encore corrigé la version sur site du logiciel.. Comme nous l'avons signalé le mois dernier, l'attaque Zero Day a infecté des entreprises de toutes tailles dans plusieurs secteurs..

La cyberattaque est suffisamment inquiétante pour que le Federal Bureau of Investigation (FBI) américain a discrètement supprimé les web shells des systèmes infectés à l'insu des citoyens américains, agissant sur la base d'un mandat délivré par le ministère de la Justice, car de nombreuses organisations n'ont pas l'expertise ou la concentration en matière de cybersécurité dont elles ont besoin pour traiter elles-mêmes le problème.

Les faits

Le 2 mars 2021, la société de sécurité Volexity a découvert une faille dans Microsoft Exchange qui permettait aux pirates d'installer des shells Web pour exfiltrer les données et les informations d'identification. Selon Microsoft, les quatre CVE impliqués comprennent :

CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

Le premier CVE fournit l'accès. Les trois derniers permettent l'exécution de code. Bloomberg a rapporté que 120,000 10,000 systèmes ont été infectés et moins de XNUMX XNUMX ne sont toujours pas corrigés au 22 mars 2021. Microsoft a publié le 2 mars des correctifs pour les quatre vulnérabilités qui ciblaient les serveurs Microsoft Exchange 2013, 2016 et 2019, ainsi qu'une mise à jour de sécurité le 14 avril. La société a également identifié le groupe de piratage parrainé par l'État chinois que Microsoft appelle « » HAFNIUM » avait réussi à pirater des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs de la défense, des groupes de réflexion politiques et des organisations non gouvernementales (ONG).

Le 14 avril, le NIST a publié quatre autres CVE uniques, qui impliquent tous une exécution à distance. Ils comprennent:

CVE-2021-28480
CVE-2021-28481
CVE-2021-28482
CVE-2021-28483

Les mots clés sont désormais « découverte » et « remédiation ». Même si les efforts du FBI sont sans doute nécessaires, les organisations ne peuvent pas compter sur lui pour leur sécurité. En plus d'obtenir le contrôle à distance des serveurs Exchange, les mauvais acteurs installent également le ransomware DearCry sur des serveurs Exchange compromis. Pire encore, d’autres mauvais acteurs en plus de HAFNIUM exploitent les vulnérabilités.

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) encourage les organisations à examiner leurs systèmes pour détecter les tactiques, techniques et procédures (TTP) et les indicateurs de compromission (IOC). En fait, l'agence a republié les informations TTP fournies par Volexity pour aider les administrateurs à déterminer si le serveur de leur entreprise a été compromis. Comme première étape de réponse aux incidents, l'agence recommande des activités médico-légales qui impliquent la collecte de quatre artefacts : la mémoire, toutes les ruches de registre, tous les journaux d'événements Windows et toutes les pages Web. CISA encourage également les entreprises à lire Avis de Microsoft ainsi que article de blog sur la sécurité pour d’autres renseignements. 

Astuces rapides

Cette cyberattaque souligne la nécessité d’apporter des correctifs. Cependant, comme il s’agissait d’une attaque Zero Day, il n’y avait aucun moyen de la combattre jusqu’à ce que l’exploit soit découvert, Microsoft ait publié des correctifs d’urgence et les entreprises les ont installés.

Si votre entreprise ne dispose pas d'un expert, d'une équipe ou d'un focus en matière de cybersécurité : exécutez l'outil d'atténuation sur site de Microsoft Exchange qui détecte automatiquement les violations et installe un correctif. Sinon:

CISA a découvert et publié 10 webshells utilisés dans les attaques, qui ne sont que quelques-uns d’entre eux. Il y a une analyse détaillée de chacun ici.
Lisez le billet de blog de Volexity qui répertorie les TTP et les mesures à prendre à leur sujet., y compris l'identification des signes d'un compromis.
Effectuer une analyse médico-légale comprenant la collecte d'artefacts afin que le tri puisse être effectué.
Installez la mise à jour de sécurité Microsoft Exchange du 13 avril qui résout les vulnérabilités.

Coinsmart. Beste Bitcoin-Börse en Europe
Source : https://www.cshub.com/executive-decisions/articles/iotw-microsoft-exchange-the-fbi-a-lack-of-patching

Intelligence de données générative

IOTW: Microsoft Exchange, le FBI et un manque de correctifs

Les faits

Astuces rapides

Une nouvelle monnaie mondiale conçue pour abandonner le dollar américain et éviter l'émergence de sanctions alors que les dirigeants des BRICS se préparent à se rencontrer : rapport – The Daily Hodl

8 stratégies de trading essentielles pour les investisseurs en crypto-monnaie – CryptoInfoNet

Dernières informations

Solana est prête à s'imposer comme le « troisième actif cryptographique majeur » après Bitcoin et Ethereum : Franklin Templeton – The Daily Hodl

NFTBank dévoile NFTBank V2 amélioré pour une meilleure gestion du portefeuille NFT et de la trésorerie des jeux Web3, rapporte Chainwire – CryptoInfoNet

Gedeckte Zwischenfinanzierung (Tranche A) pitch de projet d'opportunité de financement participatif par Swisspeers

Endfällige Zwischenfinanzierung (Tranche B) pitch de projet d'opportunité de financement participatif par Swisspeers

BDAG dévoile des options de paiement cryptographiques, via Aave et The Graph

BlockDAG : 2024 Forbes Leak et l'énigme derrière – va-t-il augmenter ? Exposition Accidentelle