{"id":389936,"date":"2022-09-30T02:57:27","date_gmt":"2022-09-30T04:57:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/avertissement-nouveau-microsoft-exchange-zero-day-non-corrige-sous-exploitation-active\/"},"modified":"2022-09-30T02:57:29","modified_gmt":"2022-09-30T04:57:29","slug":"avertissement-nouveau-microsoft-exchange-zero-day-non-corrige-sous-exploitation-active","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/avertissement-nouveau-microsoft-exchange-zero-day-non-corrige-sous-exploitation-active\/","title":{"rendered":"AVERTISSEMENT\u00a0: Nouveau Microsoft Exchange Zero-Day non corrig\u00e9 sous exploitation active"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les chercheurs en s\u00e9curit\u00e9 mettent en garde contre des failles jusque-l\u00e0 non divulgu\u00e9es dans des serveurs Microsoft Exchange enti\u00e8rement corrig\u00e9s exploit\u00e9s par des acteurs malveillants dans des attaques r\u00e9elles pour obtenir l&#8217;ex\u00e9cution de code \u00e0 distance sur les syst\u00e8mes affect\u00e9s.<\/p>\n<p>C&#8217;est selon la soci\u00e9t\u00e9 vietnamienne de cybers\u00e9curit\u00e9 GTSC, qui a d\u00e9couvert les lacunes dans le cadre de ses efforts de surveillance de la s\u00e9curit\u00e9 et de r\u00e9ponse aux incidents en ao\u00fbt 2022.<\/p>\n<p>Les deux vuln\u00e9rabilit\u00e9s, qui n&#8217;ont pas encore officiellement re\u00e7u d&#8217;identifiants CVE, sont en cours <a rel=\"nofollow noopener\" href=\"https:\/\/www.zerodayinitiative.com\/advisories\/upcoming\/\" target=\"_blank\">suivi<\/a> par l&#8217;Initiative Zero Day comme <strong>ZDI-CAN-18333<\/strong> (score CVSS : 8,8) et <strong>ZDI-CAN-18802<\/strong> (Note CVSS : 6,3).<\/p>\n<p>GTSC a d\u00e9clar\u00e9 que l&#8217;exploitation r\u00e9ussie des failles pourrait \u00eatre abus\u00e9e pour prendre pied dans les syst\u00e8mes de la victime, permettant aux adversaires de larguer des shells Web et d&#8217;effectuer des mouvements lat\u00e9raux sur le r\u00e9seau compromis.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/AVERTISSEMENT-Nouveau-Microsoft-Exchange-Zero-Day-non-corrige-sous-exploitation-active.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>&#8220;Nous avons d\u00e9tect\u00e9 des webshells, pour la plupart obscurcis, d\u00e9pos\u00e9s sur les serveurs Exchange&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/www.gteltsc.vn\/blog\/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html\" target=\"_blank\">c&#8217;est not\u00e9<\/a>.  &#8220;En utilisant l&#8217;agent utilisateur, nous avons d\u00e9tect\u00e9 que l&#8217;attaquant utilise Antsword, un outil d&#8217;administration de site Web multiplateforme open source actif bas\u00e9 en Chine qui prend en charge la gestion du shell Web.&#8221;<\/p>\n<p>Les demandes d&#8217;exploitation dans les journaux IIS appara\u00eetraient dans le m\u00eame format que les vuln\u00e9rabilit\u00e9s de ProxyShell Exchange Server, GTSC notant que les serveurs cibl\u00e9s avaient d\u00e9j\u00e0 \u00e9t\u00e9 corrig\u00e9s contre les failles r\u00e9v\u00e9l\u00e9es en mars 2021.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a \u00e9mis l&#8217;hypoth\u00e8se que les attaques provenaient probablement d&#8217;un groupe de piratage chinois en raison de l&#8217;encodage du shell Web en chinois simplifi\u00e9 (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Code_page_936_(Microsoft_Windows)\" target=\"_blank\">Page de codes Windows 936<\/a>).<\/p>\n<p>Le shell Web China Chopper est \u00e9galement d\u00e9ploy\u00e9 dans les attaques, une porte d\u00e9rob\u00e9e l\u00e9g\u00e8re qui peut accorder un acc\u00e8s \u00e0 distance persistant et permettre aux attaquants de se reconnecter \u00e0 tout moment pour une exploitation ult\u00e9rieure.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Microsoft Exchange Zero-Day\" border=\"0\" data-original-height=\"358\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1664513847_934_AVERTISSEMENT-Nouveau-Microsoft-Exchange-Zero-Day-non-corrige-sous-exploitation-active.jpg\" title=\"Microsoft Exchange Zero-Day\" \/><\/div>\n<p>Il est \u00e0 noter que le <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/china-chopper-webshell\/\" target=\"_blank\">Coquille Web China Chopper<\/a> a \u00e9galement \u00e9t\u00e9 d\u00e9ploy\u00e9 par Hafnium, un groupe pr\u00e9sum\u00e9 parrain\u00e9 par l&#8217;\u00c9tat et op\u00e9rant depuis la Chine, lorsque les vuln\u00e9rabilit\u00e9s de ProxyShell ont \u00e9t\u00e9 largement exploit\u00e9es l&#8217;ann\u00e9e derni\u00e8re.<\/p>\n<p>D&#8217;autres activit\u00e9s de post-exploitation observ\u00e9es par GTSC impliquent l&#8217;injection de DLL malveillantes dans la m\u00e9moire, la suppression et l&#8217;ex\u00e9cution de charges utiles suppl\u00e9mentaires sur les serveurs infect\u00e9s \u00e0 l&#8217;aide de la ligne de commande WMI (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/wmisdk\/wmic\" target=\"_blank\">WMIC<\/a>) utilitaire.<\/p>\n<p>La soci\u00e9t\u00e9 a d\u00e9clar\u00e9 qu&#8217;au moins plus d&#8217;une organisation avait \u00e9t\u00e9 victime d&#8217;une campagne d&#8217;attaques exploitant les failles du jour z\u00e9ro.  Des d\u00e9tails suppl\u00e9mentaires sur les bogues ont \u00e9t\u00e9 retenus \u00e0 la lumi\u00e8re de l&#8217;exploitation active.<\/p>\n<p>Nous avons contact\u00e9 Microsoft pour plus de commentaires, et nous mettrons \u00e0 jour l&#8217;histoire si nous entendons de retour.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1664513847_725_AVERTISSEMENT-Nouveau-Microsoft-Exchange-Zero-Day-non-corrige-sous-exploitation-active.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Dans l&#8217;intervalle, comme solutions de contournement temporaires, il est recommand\u00e9 d&#8217;ajouter une r\u00e8gle pour bloquer les requ\u00eates avec des indicateurs de compromis \u00e0 l&#8217;aide de la <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/iis\/extensions\/url-rewrite-module\/using-the-url-rewrite-module\" target=\"_blank\">Module de r\u00e8gle de r\u00e9\u00e9criture d&#8217;URL<\/a> pour les serveurs IIS &#8211;<\/p>\n<ul>\n<li>Dans Autodiscover at FrontEnd, s\u00e9lectionnez l&#8217;onglet URL Rewrite, puis s\u00e9lectionnez Request Blocking<\/li>\n<li>Ajoutez la cha\u00eene &#8220;.*autodiscover.json.*@.*Powershell.*&#8221; au chemin de l&#8217;URL, et<\/li>\n<li>Saisie de condition\u00a0: choisissez REQUEST_URI<\/li>\n<\/ul>\n<p>&#8220;Je peux confirmer qu&#8217;un nombre important de serveurs Exchange ont fait l&#8217;objet d&#8217;une porte d\u00e9rob\u00e9e, y compris un pot de miel&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Kevin Beaumont dans une s\u00e9rie de tweets, ajoutant que &#8220;cela ressemble \u00e0 nouveau \u00e0 une variante du proxy vers l&#8217;interface d&#8217;administration&#8221;.<\/p>\n<p>&#8220;Si vous n&#8217;ex\u00e9cutez pas Microsoft Exchange sur site et que vous n&#8217;avez pas Outlook Web App face \u00e0 Internet, vous n&#8217;\u00eates pas affect\u00e9&#8221;, a d\u00e9clar\u00e9 Beaumont. <a rel=\"nofollow noopener\" href=\"https:\/\/doublepulsar.com\/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9\" target=\"_blank\">a dit<\/a>.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/warning-new-unpatched-microsoft.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les chercheurs en s\u00e9curit\u00e9 mettent en garde contre des failles jusque-l\u00e0 non divulgu\u00e9es dans des serveurs Microsoft Exchange enti\u00e8rement corrig\u00e9s exploit\u00e9s par des acteurs malveillants dans des attaques r\u00e9elles pour obtenir l&#8217;ex\u00e9cution de code \u00e0 distance sur les syst\u00e8mes affect\u00e9s. C&#8217;est selon la soci\u00e9t\u00e9 vietnamienne de cybers\u00e9curit\u00e9 GTSC, qui a d\u00e9couvert les lacunes dans le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":389937,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[9261,4958,4168,6815,4158,4165,4161,7854,7929,4157,4159,4171,4170,4167,8362,4160,680,4163,4162,4172,4169,367,4166,4164,35759],"class_list":["post-389936","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-active","tag-avertissement","tag-comment-pirater","tag-corrige","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-exchange","tag-exploitation","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouveau","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-sous","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-zeroday"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/389936","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=389936"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/389936\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/389937"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=389936"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=389936"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=389936"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}