Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Réaction Jérôme Soyer, Dir Technique Varonis : Exploitation d’une vulnérabilité Exchange par le ransomware Dearcry

mars 2021 par Jérôme Soyer, Directeur Technique Europe du spécialiste de la gouvernance et cybersécurité des données, Varonis

Quelques jours après la découverte du piratage des serveurs Microsoft Exchange via l’exploitation de plusieurs vulnérabilités zero-day (par les cyberattaquants du groupe Hafnium), un premier ransomware du nom de Dearcry semble se diffuser via l’une des vulnérabilités à travers l’exploit Proxylogon. Jérôme Soyer, Directeur Technique Europe du spécialiste de la gouvernance et cybersécurité des données, Varonis, propose son analyse :

« L’attaque Zero-day contre les serveurs Microsoft Exchange a clairement touché beaucoup plus d’entreprises que ce qui a été rapporté à ce jour. Il faudra peut-être plusieurs mois, voire des années, pour connaître le bilan réel des dégâts.

C’était l’une des craintes et il n’aura donc pas fallu beaucoup de temps pour que des attaquants opérateurs de ransomware s’engouffrent dans la brèche. Le ransomware Dearcry semble tirer parti de la vulnérabilité ProxyLogon Exchange (on-premise) qui permet à des attaquants externes non authentifiés de se connecter à des serveurs Exchange exposés sur Internet.

Les attaques précédemment observées exploitant cette vulnérabilité avaient pour objectif de voler des informations sur la messagerie, de servir de point de départ à l’exploitation d’autres vulnérabilités Exchange puis à une élévation de privilèges, ou de faciliter de nouvelles intrusions dans les réseaux d’entreprise.

L’attaque Dearcry est beaucoup moins sophistiquée et moins directe - il semble s’agir d’une tentative d’attaque de type « smash-and-grab » (envoi à un grand nombre de cibles, sans ciblage précis) visant à soutirer de l’argent aux entreprises qui ont dû mal à réaliser la mise à jour (patching) de leurs serveurs Exchange.

Le meilleur conseil à adresser aux entreprises ayant pu être concernées par le piratage des serveurs Exchange (pas que Dearcry) est de faire rapidement le point sur leur environnement – pour savoir au plus vite où se trouvent leurs serveurs et leurs comptes Exchange, et identifier soigneusement toutes les instances d’Exchange qui peuvent encore être actives. Puis évidemment d’appliquer les correctifs.

Malheureusement, cela ne pas réglera pas tous les problèmes. En effet, l’exploitation du zero-day a peut-être permis aux attaquants de pénétrer le réseau ou d’avoir installé un moyen pour pénétrer plus tard.

Pour être complet, il faut donc trouver et supprimer les web shells et autres IoCs laissés sur les serveurs qui pourraient permettre une pénétration ultérieure. »




Voir les articles précédents

    

Voir les articles suivants