En raison des vulnérabilités de sécurité zero-day pour Microsoft Exchance Server, entre autres, une nouvelle vague d’attaques sur les serveurs Microsoft Exchange non corrigés existe en réalité. Vous trouverez ci-dessous des informations supplémentaires et des informations sur la manière de gérer l’attaque.
Que s’est-il passé ?
Le 9 novembre 2021, 55 correctifs ont été publiés pour Microsoft, dont six sont critiques. En février et mars, des vulnérabilités zero-day dans les serveurs Microsoft Exchange ont été exploitées par des attaquants pour accéder aux serveurs. Actuellement, deux vulnérabilités zero-day ont de nouveau été découvertes, dont l’une pour Microsoft Exchange Server.
La vulnérabilité zero-day CVE-2021-42321 est localisée dans les serveurs Microsoft Exchange et nécessite une action immédiate car elle est déjà activement exploitée par les attaquants. L’équipe de cybersécurité de Perseus vous conseille vivement d’installer immédiatement les correctifs de sécurité disponibles.
La vulnérabilité CVE-2021-42292 permet de contourner les fonctionnalités de sécurité dans les versions Microsoft Excel 2013-2021. Les attaquants pouvaient donc installer du code malveillant. Il suffit de faire télécharger aux utilisateurs des fichiers Excel manipulés – par exemple, via des emails de phishing.
CVE-2021-42321 : Par des experts pour des experts
La vulnérabilité zero-day CVE-2021-42321 est une vulnérabilité critique d’exécution de code à distance (RCE) dans Exchange Server causée par des problèmes de validation des arguments commandlets (cmdlet) – c’est-à-dire des commandes légères utilisées dans l’environnement PowerShell. Ils sont invoqués par l’exécution PowerShell dans le contexte de scripts d’automatisation déployés depuis la ligne de commande ou programmatiquement invoqués par l’exécution PowerShell via des API.
Quels sont les dangers pour votre entreprise ?
Ces vulnérabilités sont déjà exploitées par des cybercriminels. Ils permettent aux attaquants d’implanter des webshells et d’exécuter des commandes à distance, en résumé : exécuter activement des commandes sur les ordinateurs compromis pour installer des logiciels malveillants ou des ransomwares et espionner des données sensibles. Par exemple, les emails de réponse sont envoyés depuis des comptes personnels contenant des liens malveillants.
Que puis-je faire ?
