Microsoft a publié lundi un logiciel d’atténuation en un clic qui applique toutes les contre-mesures nécessaires pour sécuriser les environnements vulnérables contre les cyberattaques répandues en cours sur ProxyLogon Exchange Server.

Outil d’atténuation sur site appelé Exchange (EOMT), le script basé sur PowerShell sert à atténuer les attaques connues actuelles à l’aide de CVE-2021-26855, analyser le serveur Exchange à l’aide de Scanner de sécurité Microsoft pour tout shell Web déployé et essayez de corriger les compromis détectés.

«Ce nouvel outil est conçu comme une mesure d’atténuation provisoire pour les clients qui ne sont pas familiarisés avec le processus de correctif / mise à jour ou qui n’ont pas encore appliqué la mise à jour de sécurité Exchange sur site,» Microsoft mentionné.

Le développement fait suite à des attaques aveugles contre des serveurs Exchange non corrigés à travers le monde par plus de dix acteurs avancés de la menace persistante – la plupart des groupes de cyberespionnage soutenus par le gouvernement – pour planter des portes dérobées, des mineurs de pièces de monnaie et des ransomwares, avec la publication de preuves. of-concept (PoC) alimentant encore plus la frénésie de piratage.

Basé sur la télémétrie de RiskIQ317 269 des 400 000 serveurs Exchange sur site dans le monde ont été corrigés au 12 mars, les États-Unis, l’Allemagne, la Grande-Bretagne, la France et l’Italie étant en tête des pays dotés de serveurs vulnérables.

En outre, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a mise à jour ses conseils pour détailler jusqu’à sept variantes du Chopper de Chine shell web exploité par des acteurs malveillants.

Ne prenant que quatre kilo-octets, le shell Web a été un outil de post-exploitation de choix pour les cyber-attaquants depuis près d’une décennie.

Alors que l’ampleur des intrusions est en cours d’évaluation, Microsoft enquêterait également sur la manière dont les attaques “limitées et ciblées” qu’il a détectées début janvier se sont accélérées pour se transformer rapidement en une vaste campagne d’exploitation de masse, l’obligeant à publier les correctifs de sécurité une semaine. avant qu’il ne soit dû.

Le Wall Street Journal vendredi signalé que les enquêteurs se concentrent sur la question de savoir si un partenaire Microsoft, avec lequel la société a partagé des informations sur les vulnérabilités via son programme de protection active Microsoft (MAPP), l’a divulgué accidentellement ou intentionnellement à d’autres groupes.

Il est également affirmé que certains outils utilisés dans la «deuxième vague» d’attaques vers la fin du mois de février sont similaires au code d’attaque de preuve de concept que Microsoft a partagé avec les sociétés d’antivirus et d’autres partenaires de sécurité le 23 février, ce qui soulève la possibilité que les acteurs de la menace peuvent avoir mis la main sur la divulgation privée que Microsoft a partagée avec ses partenaires de sécurité.

L’autre théorie est que les acteurs de la menace ont découvert indépendamment le même ensemble de vulnérabilités, qui ont ensuite été exploitées pour effectuer furtivement une reconnaissance des réseaux cibles et voler des boîtes aux lettres avant d’intensifier les attaques une fois que les pirates ont compris que Microsoft préparait un correctif.

“C’est la deuxième fois au cours des quatre derniers mois que des acteurs des États-nations se lancent dans des cyberattaques susceptibles d’affecter des entreprises et des organisations de toutes tailles”, a déclaré Microsoft mentionné. “Bien que cela ait commencé comme une attaque par un État-nation, les vulnérabilités sont exploitées par d’autres organisations criminelles, y compris de nouvelles attaques de ransomwares, avec le potentiel pour d’autres activités malveillantes.”



Leave a Reply