Avis aux clients d'ESET 2021-0004
11 mars 2021
Gravité : Critique
Résumé
Le 2 mars 2021, Microsoft a publié des informations sur des vulnérabilités critiques dans ses serveurs Exchange 2013, 2016 et 2019. Ces vulnérabilités permettent à un attaquant distant de prendre le contrôle de n'importe quel serveur Exchange accessible via internet, sans connaître les identifiants d'accès. Parallèlement, Microsoft a également publié des correctifs pour ces vulnérabilités et ESET conseille vivement de les installer dès que possible.
Détails
La nature des vulnérabilités permet l'installation d'un webshell sur le serveur, qui peut alors servir de point d'entrée pour l'installation d'autres logiciels malveillants. Les produits de sécurité ESET détectent les webshells et les portes dérobées suivants utilisés dans le processus d'exploitation :
- JS/Exploit.CVE-2021-26855.Webshell.A
- JS/Exploit.CVE-2021-26855.Webshell.B
- ASP/Webshell
- ASP/ReGeorg
Étant donné le haut niveau d'exploitabilité et le fait que de nombreux acteurs de la menace analysent activement l'internet pour trouver des serveurs exploitables, on s'attend à ce que la plupart des serveurs ouverts à l'internet aient pu être compromis. Afin d'empêcher toute exploitation ultérieure, il est nécessaire d'installer les mises à jour disponibles fournies par Microsoft dès que possible.
Toutefois, l'application des correctifs ne permet pas de nettoyer les serveurs déjà compromis. Il est donc nécessaire de mener une enquête et de rechercher les vestiges de la compromission et les logiciels malveillants ou les traces de logiciels malveillants dans l'environnement, ainsi que de modifier les informations d'identification d'accès.
Pour une analyse plus approfondie et des détails sur la remédiation d'un serveur compromis, veuillez vous référer à l'article du blog WeLiveSecurity d'ESET à l'adresse https://www.welivesecurity.com/2021/03/10/exchange-servers-under-siege-10-apt-groups/.
Remarque : l'une des vulnérabilités affecte également Exchange Server 2010. Il ne s'agit pas de la première étape de la chaîne d'attaque, mais un correctif a été publié à des fins de défense en profondeur. Il est toujours recommandé d'enquêter sur les possibilités d'exploitation.
Commentaires et assistance
Si vous avez des commentaires ou des questions sur ce problème, veuillez nous contacter en utilisant le forum de sécurité ESET, ou via le support technique local d'ESET.
Ressources
- Les serveurs Exchange assiégés par au moins 10 groupes APT - Article du blog WeLiveSecurity d'ESET
- Les premiers tweets d'ESET Research
- ESET me protège-t-il de l'exploit zero-day Hafnium dans Microsoft Exchange - Article de la base de connaissances ESET
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 - détails de la vulnérabilité sur Microsoft Security Response Center
- HAFNIUM cible les serveurs Exchange avec des exploits de 0 jour - Microsoft Security blog post
- Plusieurs mises à jour de sécurité pour Exchange Server - Microsoft Security Response Center blog post
- Atténuation des vulnérabilités de Microsoft Exchange Server - Microsoft Security Response Center blog post
- Mises à jour de sécurité d'Exchange Server de mars 2021 pour les anciennes mises à jour cumulatives d'Exchange Server - Exchange Team blog post at Microsoft Tech Community
Journal des versions
Version 1.0 (11 mars 2021) : Version initiale de ce document
