N'oubliez pas le grand nombre de vulnérabilités qui exposent les serveurs Microsoft Exchange à diverses attaques?
Vulnérabilités ProxyLogon utilisées dans les attaques de cryptojacking
Maintenant, un autre danger devrait être ajouté à la liste des menaces - le cryptojacking également connu sous le nom de crypto-monnaie minière. Les chercheurs des SophosLabs ont découvert que les attaquants exploitant les serveurs Exchange utilisent désormais les serveurs compromis pour héberger un mineur Monero. Les autres menaces contre ces serveurs incluent les attaques APT, ransomware, et webshells.
«L’équipe des SophosLabs inspectait la télémétrie lorsqu'elle a découvert l’attaque inhabituelle visant le serveur Exchange d’un client.. L'attaque commence par une commande PowerShell pour récupérer un fichier nommé win_r.zip à partir du chemin de connexion Outlook Web Access d'un autre serveur compromis (/owa / auth)," le rapport révélé.
Un acteur de menace non identifié a tenté d'exploiter l'exploit ProxyLogon pour imposer un cryptominer Monero sur les serveurs Exchange. La charge utile elle-même est également hébergée sur un serveur Exchange compromis.
Les exécutables associés à l'attaque sont appelés Mal / Inject-GV et XMR-Stak Miner (PUA). Le rapport a également partagé une liste complète d'indicateurs de compromis pour aider les organisations à déterminer si elles ont été attaquées..
En savoir plus sur les vulnérabilités ProxyLogon
La vulnérabilités affectant Microsoft Exchange Server sont CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065. Les versions concernées incluent Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, et Microsoft Exchange Server 2019.
Les failles sont utilisées dans le cadre d'une chaîne d'attaque, connu sous le nom de ProxyLogon. Pour être initié avec succès, une attaque nécessite une connexion non approuvée à un port de serveur Exchange spécifique, 443. Cette faille peut être protégée en restreignant la connexion non approuvée, ou en mettant en place un VPN pour séparer le serveur de l'accès externe. Cependant, ces astuces d'atténuation n'offrent qu'une protection partielle. La société avertit que d'autres parties de l'attaque en chaîne peuvent être déclenchées si un attaquant a déjà accès ou peut convaincre un administrateur d'exécuter un fichier malveillant.
Il est à noter qu'en mars dernier, des groupes de piratage d'État exploitaient CVE-2020-0688, une autre vulnérabilité dans les serveurs de messagerie Microsoft Exchange. Puis, en mai, le serveur Exchange a été attaqué par le soi-disant Valar Trojan. L'attaque du malware ciblait des victimes principalement en Allemagne et aux États-Unis, dans un scénario de menace avancé livré aux systèmes vulnérables en plusieurs étapes.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: