{"id":233174,"date":"2022-07-01T08:49:29","date_gmt":"2022-07-01T10:49:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelle-porte-derobee-sessionmanager-ciblant-les-serveurs-microsoft-iis-dans-la-nature\/"},"modified":"2022-07-01T08:49:30","modified_gmt":"2022-07-01T10:49:30","slug":"nouvelle-porte-derobee-sessionmanager-ciblant-les-serveurs-microsoft-iis-dans-la-nature","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelle-porte-derobee-sessionmanager-ciblant-les-serveurs-microsoft-iis-dans-la-nature\/","title":{"rendered":"Nouvelle porte d\u00e9rob\u00e9e &#8220;SessionManager&#8221; ciblant les serveurs Microsoft IIS dans la nature"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un logiciel malveillant r\u00e9cemment d\u00e9couvert a \u00e9t\u00e9 utilis\u00e9 dans la nature au moins depuis mars 2021 pour d\u00e9tourner les serveurs Microsoft Exchange appartenant \u00e0 un large \u00e9ventail d&#8217;entit\u00e9s dans le monde, avec des infections persistantes dans 20 organisations en juin 2022.<\/p>\n<p>Doubl\u00e9 <strong>Gestionnaire de session<\/strong>l&#8217;outil malveillant se fait passer pour un module pour Internet Information Services (<a rel=\"nofollow noopener\" href=\"https:\/\/docs.microsoft.com\/en-us\/iis\/get-started\/introduction-to-iis\/introduction-to-iis-architecture\" target=\"_blank\">IIS<\/a>), un logiciel de serveur Web pour les syst\u00e8mes Windows, apr\u00e8s avoir exploit\u00e9 l&#8217;une des failles ProxyLogon dans les serveurs Exchange. <\/p>\n<p>Les cibles comprenaient 24 ONG distinctes, des organisations gouvernementales, militaires et industrielles couvrant l&#8217;Afrique, l&#8217;Am\u00e9rique du Sud, l&#8217;Asie, l&#8217;Europe, la Russie et le Moyen-Orient.  \u00c0 ce jour, 34 serveurs au total ont \u00e9t\u00e9 compromis par une variante de SessionManager.<\/p>\n<p>C&#8217;est loin d&#8217;\u00eatre la premi\u00e8re fois que la technique est observ\u00e9e dans des attaques r\u00e9elles.  L&#8217;utilisation d&#8217;un module IIS escroc comme moyen de distribuer des implants furtifs refl\u00e8te la tactique d&#8217;un voleur d&#8217;informations d&#8217;identification appel\u00e9 Owowa qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9 en d\u00e9cembre 2021.<\/p>\n<p>&#8220;La suppression d&#8217;un module IIS en tant que porte d\u00e9rob\u00e9e permet aux pirates de maintenir un acc\u00e8s persistant, r\u00e9sistant aux mises \u00e0 jour et relativement furtif \u00e0 l&#8217;infrastructure informatique d&#8217;une organisation cibl\u00e9e\u00a0; que ce soit pour collecter des e-mails, mettre \u00e0 jour d&#8217;autres acc\u00e8s malveillants ou g\u00e9rer clandestinement des serveurs compromis qui peuvent \u00eatre comme une infrastructure malveillante \u00bb, Pierre Delcher, chercheur chez Kaspersky <a rel=\"nofollow noopener\" href=\"https:\/\/securelist.com\/the-sessionmanager-iis-backdoor\/106868\/\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>La soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 a attribu\u00e9 les intrusions avec un niveau de confiance moyen \u00e0 \u00e9lev\u00e9 \u00e0 un adversaire suivi sous le nom de Gelsemium, citant des chevauchements dans les \u00e9chantillons de logiciels malveillants li\u00e9s aux deux groupes et aux victimes cibl\u00e9es.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"470\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656672569_13_Nouvelle-porte-derobee-SessionManager-ciblant-les-serveurs-Microsoft-IIS-dans.jpg\" \/><\/div>\n<p>ProxyLogon, depuis sa divulgation en mars 2021, a attir\u00e9 l&#8217;attention r\u00e9p\u00e9t\u00e9e de plusieurs acteurs de la menace, et la derni\u00e8re cha\u00eene d&#8217;attaque ne fait pas exception, l&#8217;\u00e9quipe de Gelsemium exploitant les failles pour supprimer SessionManager, une porte d\u00e9rob\u00e9e cod\u00e9e en C++ et con\u00e7ue pour traiter HTTP requ\u00eates envoy\u00e9es au serveur.<\/p>\n<p>&#8220;De tels modules malveillants s&#8217;attendent g\u00e9n\u00e9ralement \u00e0 des requ\u00eates HTTP apparemment l\u00e9gitimes mais sp\u00e9cifiquement con\u00e7ues de la part de leurs op\u00e9rateurs, d\u00e9clenchent des actions bas\u00e9es sur les instructions cach\u00e9es des op\u00e9rateurs, le cas \u00e9ch\u00e9ant, puis transmettent de mani\u00e8re transparente la requ\u00eate au serveur pour qu&#8217;elle soit trait\u00e9e comme n&#8217;importe quelle autre requ\u00eate&#8221;, a d\u00e9clar\u00e9 Delcher. expliqu\u00e9.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Consid\u00e9r\u00e9 comme une &#8220;porte d\u00e9rob\u00e9e d&#8217;acc\u00e8s initial persistant l\u00e9ger&#8221;, SessionManager est livr\u00e9 avec des capacit\u00e9s de lecture, d&#8217;\u00e9criture et de suppression de fichiers arbitraires\u00a0;  ex\u00e9cuter des binaires depuis le serveur\u00a0;  et \u00e9tablir des communications avec d&#8217;autres terminaux du r\u00e9seau.<\/p>\n<p>Le logiciel malveillant agit en outre comme un canal secret pour effectuer une reconnaissance, collecter des mots de passe en m\u00e9moire et fournir des outils suppl\u00e9mentaires tels que Mimikatz ainsi qu&#8217;un utilitaire de vidage de m\u00e9moire d&#8217;Avast.<\/p>\n<p>Les conclusions interviennent alors que la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/sites\/default\/files\/publications\/switch-to-modern-authentication-in-exchange-online-062822-508.pdf\" target=\"_blank\">exhort\u00e9<\/a> les agences gouvernementales et les entit\u00e9s du secteur priv\u00e9 utilisant la plate-forme Exchange pour passer de l&#8217;ancienne m\u00e9thode d&#8217;authentification de base aux alternatives d&#8217;authentification moderne avant son <a rel=\"nofollow noopener\" href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/basic-authentication-deprecation-in-exchange-online-may-2022\/ba-p\/3301866\" target=\"_blank\">d\u00e9sapprobation<\/a> le 1er octobre 2022.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/new-sessionmanager-backdoor-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un logiciel malveillant r\u00e9cemment d\u00e9couvert a \u00e9t\u00e9 utilis\u00e9 dans la nature au moins depuis mars 2021 pour d\u00e9tourner les serveurs Microsoft Exchange appartenant \u00e0 un large \u00e9ventail d&#8217;entit\u00e9s dans le monde, avec des infections persistantes dans 20 organisations en juin 2022. Doubl\u00e9 Gestionnaire de sessionl&#8217;outil malveillant se fait passer pour un module pour Internet Information [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":233175,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4175,4168,4158,4165,4161,429,7084,84908,4157,4159,4171,4170,65,4167,8362,4160,5853,197,4163,4162,2742,4172,4169,8541,84907,4166,4164],"class_list":["post-233174","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-derobee","tag-iis","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nature","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-porte","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-sessionmanager","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/233174","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=233174"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/233174\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/233175"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=233174"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=233174"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=233174"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}