L'exploitation des vulnérabilités d'Exchange Server a souligné l'importance de la visibilité dans la sécurisation des infrastructures de serveurs critiques. Microsoft a rapidement mis à jour la vulnérabilité, mais il reste des points importants à noter.
Premièrement, le type d'attaque SSRF (server request forgery) qui a été utilisé contre Microsoft Exchange Server dans ce cas pourrait également cibler d'autres services publics, transformant éventuellement les serveurs en nouveaux vecteurs de menace qui contournent votre défense de périmètre. Cela renforce le fait que la visibilité et le décryptage du réseau sont essentiels à la sécurisation des infrastructures face au public. Deuxièmement, la surveillance et la sécurisation de Microsoft Exchange Server présentent des défis uniques dont les administrateurs et les analystes de sécurité doivent être conscients.
Remarque : les vulnérabilités 2021 de Microsoft Exchange Server sont également appelées vulnérabilités ProxyLogon. ProxyLogon est le nom technique spécifiquement donné à CVE-2021-26855, mais le nom est utilisé dans certains cas pour faire référence à un cluster avec quatre vulnérabilités dans MS Exchange Server.
Alors que Microsoft a publié des mises à jour qui corrigeaient les vulnérabilités le 2 mars, les attaques actives ont continué de tirer parti des organisations obsolètes. Beaucoup de ces attaques ont été attribuées à Hafnium, un groupe parrainé par l'État opérant en Chine.
Les vulnérabilités d'Exchange Server représentaient 35% de toutes les enquêtes sur les incidents au printemps 2021, selon un rapport trimestriel de Talos, et des rapports d'attaquants exploitant des instances non mises à jour d'Exchange Server ont été signalés jusqu'en mai 2021.
Identifiez les attaques de contrefaçon côté serveur
Dans une attaque SSRF, un client malveillant envoie une requête à un serveur. Cela déclenche l'envoi d'une nouvelle requête par le serveur ; souvent une demande malveillante de ressources internes derrière le périmètre du réseau. Lorsqu'il est combiné avec d'autres exploits, SSRF permet aux attaquants d'élever rapidement les privilèges et de se déplacer latéralement dans votre infrastructure.
De nombreuses attaques SSRF chiffrent le trafic malveillant, ce qui rend le déchiffrement crucial pour identifier les attaques.
Les attaques SSRF ne sont que le dernier exemple de la tendance mondiale des attaquants à utiliser le chiffrement pour contourner la détection. Plusieurs sources estiment qu'environ 70 % de tout le trafic malveillant en 2020 était crypté. Certains des types d'attaques les plus courants utilisent le chiffrement, notamment :
- Activité d'authentification suspecte (si LDAP est crypté, bonne pratique commerciale)
- Tentatives et exfiltration d'accès à la base de données
- Communication de commandement et de contrôle
- Attaques de scripts intersites (XSS)
- Attaque par injection SQL
Bonne lecture : cinq raisons pour lesquelles vous devez déchiffrer le trafic pour l'analyse SecOps
Dans les scénarios d'attaque et d'attaque SSRF de Microsoft Exchange Server répertoriés ci-dessus, le déchiffrement est requis pour détecter et enquêter sur les activités malveillantes. Alors que de nombreux fournisseurs de sécurité réseau prétendent détecter les attaques cryptées à l'aide d'Analyse du trafic crypté (ETA) qui analyse l'électricité de pénétration du réseau, y compris le volume, la fréquence et les modèles de communication, ce type d'analyse fonctionne mieux pour détecter les types de logiciels malveillants connus et dérivés. ETA ne peut pas détecter les attaques de style SSRF utilisées par les cybercriminels dans les exploits de Microsoft Exchange Server.
ExtraHop Reveal (x) va bien au-delà de l'analyse et des signatures de télémétrie, et effectue le décryptage du trafic crypté SSL / TLS 1.0 à 1.3, y compris les séries de cryptage qui prennent en charge la confidentialité de transmission parfaite (PFS). Pour les attaques chiffrées avec un volume de trafic élevé, ce niveau de visibilité dans les sessions chiffrées est essentiel.
Le décryptage est compliqué et coûteux en temps de calcul. C'est pourquoi de nombreux fournisseurs ne le font pas, en particulier ceux qui ont leurs produits en ligne. Offrir de la visibilité sur le trafic crypté, tout en protégeant les données sensibles des clients, nécessite une approche qui combine consciemment sécurité et confidentialité – une approche pour laquelle nous, chez ExtraHop, avons travaillé très dur.
Microsoft Exchange Server est une cible attrayante pour les attaquants. Non seulement il contient des données commerciales sensibles en soi, mais il peut également être utilisé pour se déplacer latéralement vers d'autres systèmes à haute valeur ajoutée. Comme le dit Microsoft, « s'ils sont compromis, les serveurs Exchange fournissent un environnement unique qui permet aux attaquants d'effectuer différentes tâches à l'aide des mêmes outils ou scripts intégrés que les administrateurs utilisent pour la maintenance ».
Ces types de techniques « en direct hors du pays » sont de plus en plus populaires parmi les acteurs menaçants aujourd'hui. Comme ils utilisent des outils Microsoft légitimes tels que PSExec et Windows Management Instrumentation au lieu de code malveillant, ils sont également moins susceptibles d'être détectés par les contrôles de sécurité traditionnels. Dans le cas des attaques Exchange en 2021, des acteurs menaçants ont volé (vider) les mots de passe des serveurs compromis afin qu'ils puissent se déplacer latéralement sur les réseaux sans se faire remarquer.
Cela pourrait potentiellement permettre aux attaquants de trouver et d'accéder aux bases de données des clients pour le vol de données à grande échelle, ou de se déplacer à travers le réseau, comme la distribution de logiciels malveillants à des points stratégiques pour un impact maximal. C'est pourquoi la détection de comportement basée sur le réseau est essentielle à la sécurité d'Exchange Server.
Détection comportementale
La détection et la réponse du réseau (NDR) est la meilleure option pour trouver les acteurs de la menace qui ont déjà brisé le périmètre. Contrairement aux données de journal ou de point de terminaison, qui peuvent être désactivées, évitées ou modifiées, le trafic réseau fournit un aperçu continu de l'activité des adversaires. La surveillance du comportement du réseau est également plus efficace que les approches alternatives, car il n'existe que quelques moyens d'exfiltrer les données volées sur le réseau.
Étant donné que les attaquants utilisent des outils ou des informations d'identification légitimes pour rester cachés, vous devez surveiller les comportements anormaux sur la couche réseau. C'est là qu'intervient l'apprentissage automatique. C'est un moyen plus efficace de détecter les activités malveillantes, à un taux de faux positifs bien inférieur à celui des systèmes de détection d'intrusion (IDS) basés sur les signatures.
L'apprentissage automatique peut comprendre ce que habituel recherche, puis trouve des irrégularités dans le comportement des appareils individuels ainsi que des groupes d'appareils homologues. Un comportement étrange et suspect déclenchera un avertissement.
Rapport : Comment l'attaque SUNBURST a pu être détectée dans le réseau >
ExtraHop révèle (x)
L'apprentissage automatique avancé permet à ExtraHop Reveal (x) de détecter les menaces que d'autres outils omettent. La vérité est, cependant, que toutes les analyses comportementales basées sur l'apprentissage automatique ne sont pas égales. Notre version offre des avantages dans trois domaines clés :
1) Obtenez un meilleur apprentissage automatique en extrayant plus de 5000 fonctions du trafic réseau pour alimenter nos algorithmes. Cela inclut l'analyse complète de plus de 70 protocoles réseau pour les comportements et les interactions tels que les méthodes de transaction de base de données, les requêtes SQL, le comportement des utilisateurs, etc. Plus les fonctionnalités sont de haute qualité, plus les résultats doivent être précis.
2) Profitez de la vitesse et de l'évolutivité du cloud pour former et exécuter en continu des centaines de modèles d'apprentissage automatique. Cela améliore les fonctions de détection (x) pour la détection par rapport à celles qui effectuent l'apprentissage automatique localement, avec moins de puissance de calcul et des mises à jour instantanées.
3) Décryptez plus, comme mentionné ci-dessus. Cela offre une visibilité critique sur le trafic crypté jusqu'à et y compris SSL / TLS 1.3, permettant à Reveal (x) d'accéder aux détails clés de l'application de couche 7.
Selon Forrester, les clients ExtraHop Reveal (x) bénéficient d'un délai de détection des menaces 50 % plus court et de 84 % du délai de résolution des menaces.
NDR et arrêtez les menaces avancées
La nouvelle réalité est que certains attaquants sont de plus en plus capables de briser votre périmètre – qu'ils aient des vulnérabilités zero-day à exploiter ou qu'ils utilisent l'une des nombreuses techniques. Par conséquent, une NDR efficace avec une analyse comportementale basée sur l'apprentissage automatique devrait être la table des RSSI d'aujourd'hui. Le défi stratégique à venir est de trouver un fournisseur qui non seulement fonctionne pour l'apprentissage automatique, mais qui dispose d'un ensemble complet de fonctionnalités puissantes pour prendre en charge une détection et une réponse améliorées.
Ces exploits font partie d'une série d'attaques très médiatisées qui rappellent l'importance de surveiller les comportements d'attaque pouvant être détectés, que quelqu'un ait saisi une vulnérabilité connue ou un exploit zero-day.
Découvrez comment ces comportements ont été détectés sur le réseau avant la détection de l'attaque SUNBURST.
Lire le rapport SUNBURST>