Non classé

Microsoft enquête sur une éventuelle fuite qui a permis aux pirates d'exploiter Exchange – Un serveur de qualité

Le 15 mars 2021 - 7 minutes de lecture

[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]

Contenu de l'article

Microsoft cherche à savoir si un pirate informatique a obtenu des recherches confidentielles sur les vulnérabilités d'Exchange Server récemment découvertes par l'intermédiaire d'au moins l'un de ses partenaires de sécurité.

le journal Wall Street dit que Microsoft tente d'expliquer comment une attaque limitée à un joueur menaçant s'est propagée à d'autres juste avant que le géant de la technologie envoie un correctif logiciel aux clients le 2 mars. Lorsque Microsoft a révélé pour la première fois les quatre vulnérabilités qui permettaient de compromettre les versions locales d'Exchange, la société a déclaré qu'un groupe basé en Chine appelé Hafnium avait exploité les trous. Après que Microsoft a publié une mise à jour, d'autres groupes ont été découverts en utilisant l'exploit pour installer des crustacés et des portes dérobées.

Peu de temps après la révélation, cependant, ESET a déclaré avoir découvert que quatre autres joueurs menaçants avaient utilisé l'exploit avant la publication de la mise à jour de Microsoft, suggérant que ces groupes n'avaient pas procédé à l'ingénierie inverse de la mise à jour de Microsoft.

Publicité

Cette annonce n'a pas encore été téléversée, mais votre article continue ci-dessous.

Contenu de l'article

selon Journal, Microsoft avait partagé des informations sur les menaces sur les problèmes de sécurité avec des partenaires de sécurité avant le 2 mars. Microsoft envisagerait la possibilité qu'un partenaire fuit par inadvertance – ou intentionnellement – des informations, car certains des outils utilisés dans la deuxième vague d'attaques fin février sont similaires au code d'attaque «preuve de concept» que Microsoft a distribué en confiance.

Pendant ce temps, les experts en sécurité continuent d'analyser les techniques utilisées dans ce que certains appellent l'attaque ProxyLogon. Les chercheurs de SpiderLabs de Trustwave ont publié ce matin un rapport sur le shell en ligne de Hafnium après avoir compromis Exchange Severs.

Il est connu sous le nom de shell Web Chopper chinois Un rapport ASPX (Active Server Page Extended) est généralement implanté sur un serveur IIS (Internet Information Services) via un utilitaire d'exécution de code, tel que le téléchargement et le téléchargement de fichiers. Typiquement, le shell n'est qu'une ligne et il existe plusieurs versions pour exécuter du code dans différents langages comme ASP, ASPX, PHP, JSP et CFM. C'est une coque en filet qui est utilisée depuis des années.

«Lors de l'examen des serveurs de signes de compromis, en plus des scripts ASPX, vous devez également connaître les DLL correspondantes générées par le runtime ASP.NET», indique le rapport.

Analyse du rançongiciel DearCry

Par ailleurs, Sophos a offert des informations sur la solution DearCry qui menace les victimes de ProxyLogon. Du point de vue du comportement de cryptage, DearCry est une & # 39; Copie & # 39; ransomware, a noté Mark Loman, directeur du bureau de technologie d'ingénierie de Sophos. Il crée des copies cryptées des fichiers concernés et supprime les originaux. Cela entraîne le stockage des fichiers cryptés dans différents secteurs logiques, permettant aux victimes de récupérer potentiellement des données – en fonction du moment où Windows réutilise les secteurs logiques libérés. Les ransomwares d'origine humaine, tels que Ryuk, REvil, BitPaymer, Maze et Clop, sont des ransomwares «en place». L'attaque entraîne le stockage du fichier crypté dans les mêmes secteurs logiquement, ce qui rend impossible la récupération des données via des outils de récupération.

Publicité

Cette annonce n'a pas encore été téléversée, mais votre article continue ci-dessous.

Contenu de l'article

Le cryptage de DearCry est basé sur un système de cryptage avec une clé publique, explique Sophos. La clé de chiffrement publique est intégrée au binaire du ransomware, ce qui signifie qu'elle n'a pas besoin de contacter le serveur de commande et de contrôle de l'attaquant pour chiffrer vos fichiers. Les serveurs Microsoft Exchange configurés pour autoriser uniquement l'accès Internet pour les services Exchange sont toujours chiffrés. Sans la clé de décryptage (appartenant à l'attaquant), le décryptage est impossible.

«WannaCry était également un ransomware Copy. DearCry partage non seulement un nom similaire, mais a également un en-tête de fichier étrangement similaire », a écrit Loman. Les défenseurs doivent prendre des mesures urgentes pour installer les mises à jour Microsoft afin d'empêcher l'exploitation de leurs mises à jour Microsoft Exchange. Si cela n'est pas possible, le serveur doit être déconnecté d'Internet ou étroitement surveillé par une équipe de réponse aux menaces.

Alors que les administrateurs informatiques installent rapidement les mises à jour Microsoft pour couvrir les versions prises en charge et non prises en charge d'Exchange, on suppose qu'il existe encore des milliers d'installations non corrigées.

Selon Check Point Software, le nombre de tentatives d'attaques ProxyLogin a décuplé, passant de 700 le 11 mars à plus de 7 200 ce matin.

Le pays le plus touché était les États-Unis (17 pour cent de toutes les tentatives d'exploitation), suivis de l'Allemagne (six pour cent), du Royaume-Uni (cinq pour cent), des Pays-Bas (cinq pour cent) et de la Russie (quatre pour cent)).

Le secteur industriel le plus ciblé a été le gouvernement / l'armée (23% de toutes les tentatives d'exploitation), suivi de l'industrie (15%), des services bancaires et financiers (14%), des fournisseurs de logiciels (7%) et des services de santé. (six pour cent).

Le message Microsoft enquête sur une éventuelle fuite qui a permis aux pirates d'exploiter Exchange, apparu pour la première fois sur IT World Canada.

Cette section est gérée par IT World Canada. ITWC couvre le spectre des TI de l'entreprise et fournit des nouvelles et des informations aux professionnels des TI qui souhaitent réussir sur le marché canadien.

commentaires

Postmedia s'engage à maintenir un forum de discussion animé mais civil et encourage tous les lecteurs à partager leurs points de vue sur nos articles. Les commentaires peuvent prendre jusqu'à une heure avant la modération avant d'apparaître sur le site. Nous vous demandons de garder vos commentaires pertinents et respectueux. Nous avons activé les notifications par e-mail – vous recevrez désormais un e-mail si vous recevez une réponse à votre commentaire, c'est une mise à jour d'un fil de commentaires que vous suivez, ou si un utilisateur vous suivez les commentaires. Consultez le règlement de la communauté pour plus d'informations et de détails sur l'ajustement de vos paramètres de messagerie.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.