Les attaques menées contre les serveurs Microsoft Exchange dans le monde entier par le groupe de menace Hafnium, parrainé par l'État chinois, auraient touché plus de 21 000 organisations. L'impact de ces attaques s'accroît à mesure que les quatre vulnérabilités "zero-day" sont exploitées par de nouveaux acteurs de la menace.
Alors que le monde a découvert ces vulnérabilités critiques le2 mars lorsque Microsoft a publié des mises à jour de sécurité et des conseils d'atténuation, la première exploitation connue de cette vulnérabilité s'est produite au début du mois de janvier. Bien que l'application des mises à jour conseillées par Microsoft protège les organisations contre l'exploitation continue ou future de ces vulnérabilités connues, elles n'atténuent pas les compromissions qui se sont déjà produites. Et comme ces vulnérabilités Exchange sont exposées à l'internet, les cybercriminels continuent de rechercher avec voracité les systèmes non corrigés pour les attaquer à une échelle sans précédent.
J'ai récemment eu l'occasion de m'entretenir avec Alan Sugano, président d'ADS Consulting Group, au sujet des attaques Hafnium dans le cadre d'un épisode du HIP Podcast. Dans le cadre de son travail avec ADS Consulting Group, une organisation de soutien pour de nombreuses petites et moyennes entreprises ayant une connaissance approfondie de Microsoft Exchange, Alan est intimement impliqué dans les efforts de correction et d'atténuation liés aux attaques Hafnium. Lors de notre entretien, nous avons discuté de la nature exacte des attaques Hafnium et de la manière dont elles permettent un accès non autorisé à des systèmes critiques tels que Active Directory (AD), ainsi que des conseils pratiques sur la manière dont les entreprises peuvent se défendre contre ces attaques.
Comment fonctionnent les attaques au hafnium ?
Les attaques Hafnium sont en grande partie des attaques automatisées qui recherchent des serveurs Exchange non corrigés sur la base des informations dont nous disposons actuellement. En tirant parti de quatre vulnérabilités de type "zero-day", les attaquants sont en mesure d'effectuer des recherches à distance sur des serveurs Exchange exposés à l'internet afin d'accéder à n'importe quel serveur Exchange par le biais d'Outlook Web Access (OWA). Ils créent ensuite un shell web pour contrôler à distance le serveur compromis afin de voler les données d'une organisation et d'obtenir un accès non autorisé à des systèmes critiques comme AD. En ciblant AD, les cybercriminels peuvent élever leurs privilèges et se déplacer latéralement vers d'autres systèmes et environnements.
Comment une organisation peut-elle confirmer qu'elle a été piratée ?
L'un des principaux indicateurs de compromission (IOC) est la présence d'un fichier ASPX qui n'a pas l'air d'être là. Les organisations peuvent rechercher ces fichiers web shell en vérifiant le chemin C:inetpubwwwrootaspnet_clientsystem_web. Microsoft a également publié plusieurs scripts PowerShell permettant aux organisations de vérifier la présence d'IOC Hafnium dans différents dossiers, ainsi que les noms de fichiers à rechercher.
Une fois que le fichier ASPX est présent, il importe peu qu'une organisation ait patché son serveur. Si le fichier ASPX est là, cela signifie que le shell web a déjà été installé et qu'un attaquant a accès à des systèmes vulnérables.
Quelles mesures les organisations doivent-elles prendre pour vérifier si elles ont été compromises ?
Les organisations peuvent être touchées par plusieurs variantes de Hafnium, et il est possible que de nouvelles variantes aient déjà été créées qui feraient apparaître le shell web dans un dossier différent qui n'est pas répertorié dans les scripts PowerShell de Microsoft. C'est pourquoi il est recommandé de télécharger le Microsoft Safety Scanner. Celui-ci effectuera une analyse complète du serveur Exchange d'une organisation et repérera les shells web que les logiciels antivirus commerciaux sont tout simplement incapables de détecter. Se fier à un logiciel antivirus traditionnel ne fera que donner à votre organisation un faux sentiment de sécurité tout en la laissant vulnérable.
Il est important de noter qu'au cours de l'analyse proprement dite, le scanner de sécurité de Microsoft peut détecter des "fichiers infectés". Cela peut sembler effrayant, mais il peut s'agir simplement d'une partie d'un fichier qui correspond à l'un des modèles recherchés par le scanner. Pour savoir avec certitude si votre organisation a été compromise ou non, vous devrez examiner les résultats complets à l'issue de l'analyse de l'index. Bien que le scanner de sécurité supprime automatiquement tous les fichiers infectés, il est conseillé d'exécuter à nouveau l'analyse complète après le redémarrage du serveur Exchange pour s'assurer qu'aucun fichier n'a été oublié.
Quelles mesures correctives une organisation compromise doit-elle prendre ?
Si Microsoft Security Scanner trouve un shell web, cette organisation doit également vérifier ScheduledTasks pour s'assurer qu'il n'y a pas de tâches planifiées qui exécutent VSPerfMon, qui ouvre des portes dérobées qui maintiennent un accès persistant aux serveurs Exchange compromis. Pour ce faire, ouvrez une invite de commande sur le serveur Exchange et exécutez Schtasks.exe. Une autre porte dérobée potentielle est la présence d'une clé de chemin d'accès à un navigateur Opera, que les attaquants utilisent comme méthode pour lancer un cheval de Troie d'accès à distance afin de permettre un contrôle administratif. Avant de supprimer toute porte dérobée, les entreprises devront bloquer l'accès à OWA afin d'éviter que les attaquants n'introduisent une autre porte dérobée au cours du processus de remédiation.
En outre, toute incursion dans le réseau d'une organisation conduit inévitablement à AD, car cela permet aux attaquants d'accéder à des informations d'identification privilégiées. Cela signifie que si AD est compromis, c'est tout l'environnement de l'organisation qui l'est. L'analyse des systèmes à la recherche d'IOC et d'IOE (indicateurs d'exposition) est une étape essentielle pour renforcer la sécurité d'AD. Un outil qui peut être utile, et dont je recommande vivement aux professionnels de la sécurité de tirer parti, est le suivant Purple KnightSemperis, un outil d'évaluation de la sécurité gratuit qui a été conçu pour analyser AD à la recherche de 59 IOE et IOC différents en quelques secondes. Semperis a également récemment amélioré Directory Services Protector (DSP) v3.5, qui permet aux organisations de surveiller en permanence AD pour détecter les indicateurs de sécurité avant et après les attaques et découvrir les vulnérabilités dangereuses.
Enfin, il est important que les équipes de sécurité fassent un effort conscient pour se tenir au courant des nouvelles liées à Hafnium et à Exchange Server, en particulier toute nouvelle découverte de vulnérabilités. Les blogs TRUESEC et Huntress sont d'excellentes sources d'information.
L'accès qui peut être obtenu en exploitant les vulnérabilités est important. En agissant rapidement pour supprimer les shells web et toute autre porte dérobée, les organisations peuvent potentiellement protéger leurs données avant que les attaquants n'aient une chance de commencer à exploiter les données des serveurs compromis.
-
Écoutez l'intégralité de la conversation sur les attaques au hafnium avec Sean Deuby, directeur des services chez Semperis, et Alan Sugano, président d'ADS Consulting Group, dans le dernier épisode du HIP Podcast.