{"id":392121,"date":"2022-10-01T09:33:32","date_gmt":"2022-10-01T11:33:32","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-parraines-par-letat-ont-probablement-exploite-ms-exchange-0-days-contre-environ-10-organisations\/"},"modified":"2022-10-01T09:33:33","modified_gmt":"2022-10-01T11:33:33","slug":"des-pirates-informatiques-parraines-par-letat-ont-probablement-exploite-ms-exchange-0-days-contre-environ-10-organisations","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-informatiques-parraines-par-letat-ont-probablement-exploite-ms-exchange-0-days-contre-environ-10-organisations\/","title":{"rendered":"Des pirates informatiques parrain\u00e9s par l&#8217;\u00c9tat ont probablement exploit\u00e9 MS Exchange 0-Days contre environ 10 organisations"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Microsoft a r\u00e9v\u00e9l\u00e9 vendredi qu&#8217;un seul groupe d&#8217;activit\u00e9s en ao\u00fbt 2022 avait obtenu un acc\u00e8s initial et viol\u00e9 les serveurs Exchange en encha\u00eenant les deux failles zero-day r\u00e9cemment r\u00e9v\u00e9l\u00e9es dans un ensemble limit\u00e9 d&#8217;attaques visant moins de 10 organisations dans le monde.<\/p>\n<p>&#8220;Ces attaques ont install\u00e9 le shell Web Chopper pour faciliter l&#8217;acc\u00e8s au clavier, que les attaquants ont utilis\u00e9 pour effectuer la reconnaissance d&#8217;Active Directory et l&#8217;exfiltration de donn\u00e9es&#8221;, a d\u00e9clar\u00e9 le Microsoft Threat Intelligence Center (MSTIC). <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/security\/blog\/2022\/09\/30\/analyzing-attacks-using-the-exchange-vulnerabilities-cve-2022-41040-and-cve-2022-41082\/\" target=\"_blank\">a dit<\/a> dans un rapport de vendredi.<\/p>\n<p>La militarisation des vuln\u00e9rabilit\u00e9s devrait s&#8217;intensifier dans les prochains jours, a en outre averti Microsoft, alors que des acteurs malveillants cooptent les exploits dans leurs bo\u00eetes \u00e0 outils, y compris en d\u00e9ployant des ran\u00e7ongiciels, en raison de &#8220;l&#8217;acc\u00e8s hautement privil\u00e9gi\u00e9 que les syst\u00e8mes Exchange conf\u00e8rent \u00e0 un attaquant&#8221;.<\/p>\n<p>Le g\u00e9ant de la technologie a attribu\u00e9 les attaques en cours avec une confiance moyenne \u00e0 une organisation parrain\u00e9e par l&#8217;\u00c9tat, ajoutant qu&#8217;il enqu\u00eatait d\u00e9j\u00e0 sur ces attaques lorsque l&#8217;Initiative Zero Day a r\u00e9v\u00e9l\u00e9 les failles au Microsoft Security Response Center (MSRC) plus t\u00f4t ce mois-ci, les 8 et 9 septembre 2022. .<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 collectivement surnomm\u00e9es <a rel=\"nofollow noopener\" href=\"https:\/\/doublepulsar.com\/proxynotshell-the-story-of-the-claimed-zero-day-in-microsoft-exchange-5c63d963a9e9\" target=\"_blank\"><strong>ProxyNotShell<\/strong><\/a>du fait que &#8220;c&#8217;est le m\u00eame chemin et la m\u00eame paire SSRF\/RCE&#8221; que ProxyShell mais avec authentification, sugg\u00e9rant un patch incomplet.<\/p>\n<p>Les probl\u00e8mes, qui s&#8217;encha\u00eenent pour obtenir l&#8217;ex\u00e9cution de code \u00e0 distance, sont r\u00e9pertori\u00e9s ci-dessous &#8211;<\/p>\n<ul>\n<li><strong>CVE-2022-41040<\/strong> &#8211; Vuln\u00e9rabilit\u00e9 de falsification des requ\u00eates c\u00f4t\u00e9 serveur de Microsoft Exchange Server<\/li>\n<li><strong>CVE-2022-41082<\/strong> &#8211; Vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance de Microsoft Exchange Server<\/li>\n<\/ul>\n<p>&#8220;Bien que ces vuln\u00e9rabilit\u00e9s n\u00e9cessitent une authentification, l&#8217;authentification n\u00e9cessaire \u00e0 l&#8217;exploitation peut \u00eatre celle d&#8217;un utilisateur standard&#8221;, a d\u00e9clar\u00e9 Microsoft.  &#8220;Les informations d&#8217;identification standard des utilisateurs peuvent \u00eatre acquises via de nombreuses attaques diff\u00e9rentes, telles que la pulv\u00e9risation de mots de passe ou l&#8217;achat via l&#8217;\u00e9conomie cybercriminelle.&#8221;<\/p>\n<p>Les vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes pour la premi\u00e8re fois par la soci\u00e9t\u00e9 vietnamienne de cybers\u00e9curit\u00e9 GTSC dans le cadre de ses efforts de r\u00e9ponse aux incidents pour un client en ao\u00fbt 2022. Un acteur mena\u00e7ant chinois est soup\u00e7onn\u00e9 d&#8217;\u00eatre \u00e0 l&#8217;origine des intrusions.<\/p>\n<p>Le d\u00e9veloppement intervient alors que la Cybersecurity and Infrastructure Security Agency (CISA) des \u00c9tats-Unis <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/uscert\/ncas\/current-activity\/2022\/09\/30\/cisa-adds-three-known-exploited-vulnerabilities-catalog\" target=\"_blank\">ajout\u00e9e<\/a> les deux vuln\u00e9rabilit\u00e9s zero-day de Microsoft Exchange Server \u00e0 son catalogue de vuln\u00e9rabilit\u00e9s exploit\u00e9es connues (KEV), obligeant les agences f\u00e9d\u00e9rales \u00e0 appliquer les correctifs d&#8217;ici le 21 octobre 2022.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Microsoft a d\u00e9clar\u00e9 qu&#8217;il travaillait sur un &#8220;calendrier acc\u00e9l\u00e9r\u00e9&#8221; pour publier un correctif pour les lacunes.  Il a aussi <a rel=\"nofollow noopener\" href=\"https:\/\/aka.ms\/EOMTv2\" target=\"_blank\">publi\u00e9 un sc\u00e9nario<\/a> pour les \u00e9tapes d&#8217;att\u00e9nuation de r\u00e9\u00e9criture d&#8217;URL suivantes qui, selon lui, &#8220;r\u00e9ussissent \u00e0 briser les cha\u00eenes d&#8217;attaque actuelles&#8221; &#8211;<\/p>\n<ul>\n<li>Ouvrir le gestionnaire IIS<\/li>\n<li>S\u00e9lectionnez le site Web par d\u00e9faut<\/li>\n<li>Dans la vue des fonctionnalit\u00e9s, cliquez sur R\u00e9\u00e9criture d&#8217;URL<\/li>\n<li>Dans le volet Actions sur le c\u00f4t\u00e9 droit, cliquez sur Ajouter une ou plusieurs r\u00e8gles\u2026 <\/li>\n<li>S\u00e9lectionnez Demander le blocage et cliquez sur OK<\/li>\n<li>Ajoutez la cha\u00eene &#8220;.*autodiscover.json.*@.*Powershell.*&#8221; (hors guillemets)<\/li>\n<li>S\u00e9lectionnez Expression r\u00e9guli\u00e8re sous Utilisation<\/li>\n<li>S\u00e9lectionnez Abandonner la demande sous Comment bloquer, puis cliquez sur OK<\/li>\n<li>D\u00e9veloppez la r\u00e8gle et s\u00e9lectionnez la r\u00e8gle avec le mod\u00e8le .*autodiscover.json.*@.*Powershell.* et cliquez sur Modifier sous Conditions.<\/li>\n<li>Modifiez l&#8217;entr\u00e9e de condition de URL \u00e0 REQUEST_URI<\/li>\n<\/ul>\n<p>Comme mesures de pr\u00e9vention suppl\u00e9mentaires, la soci\u00e9t\u00e9 exhorte les entreprises \u00e0 appliquer l&#8217;authentification multifacteur (MFA), \u00e0 d\u00e9sactiver <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/azure\/active-directory\/conditional-access\/block-legacy-authentication#moving-away-from-legacy-authentication\" target=\"_blank\">authentification h\u00e9rit\u00e9e<\/a>et expliquez aux utilisateurs comment ne pas accepter les invites inattendues d&#8217;authentification \u00e0 deux facteurs (2FA).<\/p>\n<p>&#8220;Microsoft Exchange est une cible juteuse \u00e0 exploiter pour les acteurs de la menace pour deux raisons principales&#8221;, a d\u00e9clar\u00e9 Travis Smith, vice-pr\u00e9sident de la recherche sur les menaces de logiciels malveillants chez Qualys, \u00e0 The Hacker News.<\/p>\n<p>&#8220;Premi\u00e8rement, l&#8217;\u00e9change [&#8230;] \u00eatre directement connect\u00e9 \u00e0 Internet cr\u00e9e une surface d&#8217;attaque accessible de n&#8217;importe o\u00f9 dans le monde, augmentant consid\u00e9rablement le risque d&#8217;\u00eatre attaqu\u00e9.  Deuxi\u00e8mement, Exchange est une fonction essentielle \u00e0 la mission\u00a0: les organisations ne peuvent pas simplement d\u00e9brancher ou d\u00e9sactiver les e-mails sans avoir un impact n\u00e9gatif important sur leur activit\u00e9.\u00a0\u00bb<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/state-sponsored-hackers-likely.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft a r\u00e9v\u00e9l\u00e9 vendredi qu&#8217;un seul groupe d&#8217;activit\u00e9s en ao\u00fbt 2022 avait obtenu un acc\u00e8s initial et viol\u00e9 les serveurs Exchange en encha\u00eenant les deux failles zero-day r\u00e9cemment r\u00e9v\u00e9l\u00e9es dans un ensemble limit\u00e9 d&#8217;attaques visant moins de 10 organisations dans le monde. &#8220;Ces attaques ont install\u00e9 le shell Web Chopper pour faciliter l&#8217;acc\u00e8s au clavier, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":392122,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[113498,4168,841,4158,4165,4161,133,12580,7854,7727,8154,4157,4159,4171,4170,251,4167,4160,4163,4162,249,12070,164,113497,4394,2746,4172,4169,4166,4164],"class_list":["post-392121","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-0days","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-environ","tag-exchange","tag-exploite","tag-informatiques","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-letat","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ont","tag-organisations","tag-par","tag-parraines","tag-pirates","tag-probablement","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/392121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=392121"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/392121\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/392122"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=392121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=392121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=392121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}