{"id":580252,"date":"2023-01-28T09:49:29","date_gmt":"2023-01-28T11:49:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-exhorte-les-clients-a-securiser-les-serveurs-exchange-sur-site\/"},"modified":"2023-01-28T09:49:31","modified_gmt":"2023-01-28T11:49:31","slug":"microsoft-exhorte-les-clients-a-securiser-les-serveurs-exchange-sur-site","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-exhorte-les-clients-a-securiser-les-serveurs-exchange-sur-site\/","title":{"rendered":"Microsoft exhorte les clients \u00e0 s\u00e9curiser les serveurs Exchange sur site"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 janvier 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des e-mails \/ Cybermenace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Microsoft exhorte les clients \u00e0 maintenir leurs serveurs Exchange \u00e0 jour et \u00e0 prendre des mesures pour renforcer l&#8217;environnement, telles que l&#8217;activation <a rel=\"nofollow noopener\" href=\"https:\/\/microsoft.github.io\/CSS-Exchange\/Security\/Extended-Protection\/\" target=\"_blank\">Protection \u00e9tendue de Windows<\/a> et configuration <a rel=\"nofollow noopener\" href=\"https:\/\/support.microsoft.com\/en-us\/topic\/certificate-signing-of-powershell-serialization-payload-in-exchange-server-90fbf219-b0dd-4b2c-8a68-9d73b3309eb1\" target=\"_blank\">signature bas\u00e9e sur des certificats<\/a> des charges utiles de s\u00e9rialisation PowerShell.<\/p>\n<p>&#8220;Les attaquants qui cherchent \u00e0 exploiter des serveurs Exchange non corrig\u00e9s ne vont pas dispara\u00eetre&#8221;, a d\u00e9clar\u00e9 l&#8217;\u00e9quipe Exchange du g\u00e9ant de la technologie. <a rel=\"nofollow noopener\" href=\"https:\/\/techcommunity.microsoft.com\/t5\/exchange-team-blog\/protect-your-exchange-servers\/ba-p\/3726001\" target=\"_blank\">m&#8217;a dit<\/a> dans un poste.  &#8220;Il y a trop d&#8217;aspects des environnements Exchange sur site non corrig\u00e9s qui sont pr\u00e9cieux pour les acteurs malveillants qui cherchent \u00e0 exfiltrer des donn\u00e9es ou \u00e0 commettre d&#8217;autres actes malveillants.&#8221;<\/p>\n<p>Microsoft a \u00e9galement soulign\u00e9 que les mesures d&#8217;att\u00e9nuation \u00e9mises par la soci\u00e9t\u00e9 ne sont qu&#8217;une solution palliative et qu&#8217;elles peuvent &#8220;devenir insuffisantes pour se prot\u00e9ger contre toutes les variantes d&#8217;une attaque&#8221;, obligeant les utilisateurs \u00e0 installer les mises \u00e0 jour de s\u00e9curit\u00e9 n\u00e9cessaires pour s\u00e9curiser les serveurs.<\/p>\n<p>Exchange Server s&#8217;est av\u00e9r\u00e9 \u00eatre un <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/siestagraph-new-implant-uncovered-in-asean-member-foreign-ministry\" target=\"_blank\">vecteur d&#8217;attaque lucratif<\/a> ces derni\u00e8res ann\u00e9es, avec un certain nombre de failles de s\u00e9curit\u00e9 dans le logiciel transform\u00e9es en armes de type zero-day pour pirater les syst\u00e8mes.<\/p>\n<p>Au cours des deux derni\u00e8res ann\u00e9es seulement, plusieurs ensembles de vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couverts dans Exchange Server &#8211; y compris ProxyLogon, ProxyOracle, ProxyShell, ProxyToken, ProxyNotShell et un contournement d&#8217;att\u00e9nuation ProxyNotShell connu sous le nom d&#8217;OWASSRF &#8211; dont certains ont fait l&#8217;objet d&#8217;une exploitation g\u00e9n\u00e9ralis\u00e9e dans la nature.<\/p>\n<p>Bitdefender, dans un avis technique publi\u00e9 cette semaine, a d\u00e9crit Exchange comme une &#8220;cible id\u00e9ale&#8221;, tout en relatant certaines des attaques r\u00e9elles impliquant les cha\u00eenes d&#8217;exploitation ProxyNotShell \/ OWASSRF depuis fin novembre 2022.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/01\/Microsoft-exhorte-les-clients-a-securiser-les-serveurs-Exchange-sur.png\" alt=\"Microsoft\" border=\"0\" data-original-height=\"653\" data-original-width=\"728\" title=\"Microsoft\"\/><\/div>\n<p>&#8220;Il y a un <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/exchange\/architecture\/architecture\" target=\"_blank\">r\u00e9seau complexe<\/a> de services frontend et backend [in Exchange]avec un code h\u00e9rit\u00e9 pour assurer la r\u00e9trocompatibilit\u00e9 \u00bb, Martin Zugec de Bitdefender <a rel=\"nofollow noopener\" href=\"https:\/\/businessinsights.bitdefender.com\/technical-advisory-proxyhell-exploit-chains-in-the-wild\" target=\"_blank\">c&#8217;est not\u00e9<\/a>.  &#8220;Les services backend font confiance aux requ\u00eates du front-end [Client Access Services] couche.&#8221;<\/p>\n<p>Une autre raison est le fait que plusieurs services principaux s&#8217;ex\u00e9cutent en tant qu&#8217;Exchange Server lui-m\u00eame, qui est fourni avec des privil\u00e8ges SYSTEM, et que les exploits pourraient accorder \u00e0 l&#8217;attaquant un acc\u00e8s malveillant au <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/powershell\/exchange\/exchange-management-shell\" target=\"_blank\">PowerShell distant<\/a> service, ouvrant ainsi la voie \u00e0 l&#8217;ex\u00e9cution de commandes malveillantes.<\/p>\n<p>\u00c0 cette fin, les attaques militarisant les failles ProxyNotShell et OWASSRF ont cibl\u00e9 les secteurs des arts et du divertissement, du conseil, du droit, de la fabrication, de l&#8217;immobilier et de la vente en gros situ\u00e9s en Autriche, au Kowe\u00eft, en Pologne, en Turquie et aux \u00c9tats-Unis.<\/p>\n<p>&#8220;Ces types de falsification de requ\u00eate c\u00f4t\u00e9 serveur (<a rel=\"nofollow noopener\" href=\"https:\/\/owasp.org\/www-community\/attacks\/Server_Side_Request_Forgery\" target=\"_blank\">SSRF<\/a>) permettent \u00e0 un adversaire d&#8217;envoyer une requ\u00eate sp\u00e9cialement con\u00e7ue \u00e0 partir d&#8217;un serveur vuln\u00e9rable \u00e0 d&#8217;autres serveurs pour acc\u00e9der \u00e0 des ressources ou des informations qui ne sont autrement pas directement accessibles \u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 roumaine de cybers\u00e9curit\u00e9.<\/p>\n<p>La plupart des attaques seraient opportunistes plut\u00f4t que cibl\u00e9es et cibl\u00e9es, les infections aboutissant \u00e0 la tentative de d\u00e9ploiement de shells Web et de logiciels de surveillance et de gestion \u00e0 distance (RMM) tels que ConnectWise Control et GoTo Resolve.<\/p>\n<p>Les shells Web offrent non seulement un m\u00e9canisme d&#8217;acc\u00e8s \u00e0 distance persistant, mais permettent \u00e9galement aux acteurs criminels de mener un large \u00e9ventail d&#8217;activit\u00e9s de suivi et m\u00eame de vendre l&#8217;acc\u00e8s \u00e0 d&#8217;autres groupes de pirates \u00e0 des fins lucratives.<\/p>\n<p>Dans certains cas, les serveurs interm\u00e9diaires utilis\u00e9s pour h\u00e9berger les charges utiles ont \u00e9t\u00e9 compromis par les serveurs Microsoft Exchange eux-m\u00eames, ce qui sugg\u00e8re que la m\u00eame technique a pu \u00eatre appliqu\u00e9e pour \u00e9tendre l&#8217;\u00e9chelle des attaques.<\/p>\n<p>On a \u00e9galement observ\u00e9 des efforts infructueux entrepris par des adversaires pour t\u00e9l\u00e9charger Cobalt Strike ainsi qu&#8217;un implant bas\u00e9 sur Go nomm\u00e9 GoBackClient qui est livr\u00e9 avec des capacit\u00e9s pour collecter des informations syst\u00e8me et g\u00e9n\u00e9rer des coques invers\u00e9es.<\/p>\n<p>L&#8217;abus des vuln\u00e9rabilit\u00e9s de Microsoft Exchange a \u00e9galement \u00e9t\u00e9 une tactique r\u00e9currente employ\u00e9e par UNC2596 (alias Tropical Scorpius), les op\u00e9rateurs de <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/ph\/security\/news\/ransomware-spotlight\/ransomware-spotlight-cuba\" target=\"_blank\">Cuba<\/a> (aka COLDDRAW) ransomware, avec une attaque tirant parti de la s\u00e9quence d&#8217;exploitation ProxyNotShell pour supprimer le <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/bughatch-malware-analysis\" target=\"_blank\">BUGHATCH<\/a> t\u00e9l\u00e9chargeur.<\/p>\n<p>&#8220;Alors que le vecteur d&#8217;infection initial continue d&#8217;\u00e9voluer et que les acteurs de la menace exploitent rapidement toute nouvelle opportunit\u00e9, leurs activit\u00e9s post-exploitation sont famili\u00e8res&#8221;, a d\u00e9clar\u00e9 Zugec.  &#8220;La meilleure protection contre les cyberattaques modernes est une architecture de d\u00e9fense en profondeur.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/microsoft-urges-customers-to-secure-on.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 janvier 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 des e-mails \/ Cybermenace Microsoft exhorte les clients \u00e0 maintenir leurs serveurs Exchange \u00e0 jour et \u00e0 prendre des mesures pour renforcer l&#8217;environnement, telles que l&#8217;activation Protection \u00e9tendue de Windows et configuration signature bas\u00e9e sur des certificats des charges utiles de s\u00e9rialisation PowerShell. &#8220;Les attaquants qui cherchent \u00e0 exploiter des serveurs [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":580253,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8004,4168,4158,4165,4161,7854,8055,4157,4159,4171,4170,65,4167,8362,4160,4163,4162,19071,4172,4169,8541,2648,60,4166,4164],"class_list":["post-580252","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-clients","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-exchange","tag-exhorte","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securiser","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-site","tag-sur","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/580252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=580252"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/580252\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/580253"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=580252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=580252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=580252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}