Que faire contre les menaces persistantes dans les serveurs Exchange?
Même après avoir patché les failles des serveurs Exchange, les attaquants peuvent conserver un accès aux systèmes, prévient Microsoft. Le fournisseur attire l'attention sur ces menaces persistantes et partage des méthodes d'atténuation.
Suite à la découverte de vulnérabilités touchant les serveurs Exchange, appliquer les patchs ne suffit pas. Sur son blog, l’équipe de la division sécurité de Microsoft fournit une analyse des menaces que pourraient cacher des serveurs Exchange compromis avant l'application d’un correctif (ce que 92% des entreprises aurait accompli en date du 25 mars, précise le fournisseur).
Pour prévenir les actions de pirates qui aurait profité des failles dans Exchange et conserver leur accès aux serveurs, Microsoft fournit plusieurs conseils aux entreprises, soulignant que la plupart des menaces peuvent être atténuées en appliquant le principe du moindre privilège et en limitant les mouvements latéraux.
Web shell et réinitialisation des identifiants
Les environnements Exchange vulnérables ont été ciblés par des ransomwares. Dont Pydomer mais surtout DearCry, également nommé DoejoCrypt. Microsoft explique qu’il convient de détecter la présence d’un web shell lié à ce ransomware. Ce web shell écrit un fichier batch dans C:Windows\Temp\xx.bat. Il faut savoir que ce fichier peut effectuer une sauvegarde de la base de données SAM (Security Account Manager) et du registre Système et Sécurité. De quoi permettre aux attaquants d'accéder aux mots de passe des utilisateurs locaux du système, mais aussi aux mots de passe des services et des tâches planifiées. C'est pourquoi Microsoft recommande d’opérer selon le principe du moindre privilège. «Si la charge utile DoejoCrypt est le résultat le plus visible des actions des attaquants, l'accès aux informations d'identification obtenues pourrait leur servir pour de futures campagnes si les organisations ne réinitialisent pas les informations d'identification sur les systèmes compromis», précise le fournisseur.
Dangereux canard au citron
Les experts en cybersécurité de Microsoft tirent aussi la sonnette d'alarme concernant le botnet Lemon Duck. A l’origine dédié au minage de cryptomonnaie en puisant dans des systèmes infectés, il a déjà profité des récentes failles Exchange en se déclinant en chargeur de logiciels malveillants. Les individus opérant ce botnet utilisent diverses techniques d'obfuscation. «La charge utile de Lemon Duck est un script PowerShell codé et brouillé. Il supprime d'abord divers produits de sécurité du système, puis crée des tâches planifiées et un abonnement aux événements WMI pour la persistance. Un deuxième script est téléchargé pour tenter d'échapper à l'antivirus Microsoft Defender», prévient Microsoft. Les opérateurs de Lemon Duck sont en outre capables d’effacer toutes traces de web shells injectés par d’autres groupes d'attaquants. Il convient dès lors d'enquêter pleinement sur les systèmes qui ont été exposés.
En savoir plus via l’analyse détaillée de l’équipe sécurité de Microsoft.