security: Si vous scannez un serveur Exchange infecté, vous devez rechercher des traces d’attaques multiples, avertit Microsoft

By

Liam Tong

|
Monday 29 mars 2021

Plusieurs serveurs Exchange sur site ont réussi à mettre en œuvre les correctifs, mais Microsoft a révélé que son enquête montre que plusieurs menaces se cachent dans des systèmes qui ont déjà été compromis

Le géant de la technologie tire la sonnette d’alarme sur les attaques potentielles ciblant les serveurs Exchange qui ont déjà été compromis, en particulier si les attaquants ont utilisé des scripts web shell pour gagner en stabilité sur le serveur, ou si l’attaquant a volé des informations d’identification lors d’attaques précédentes

Microsoft a publié des correctifs pour les systèmes Exchange le 2 mars. Quatre bogues Exchange ont déjà été attaqués par un groupe de hackers appelé Hafnium

Earlier this week, Microsoft a annoncé que 92% des serveurs Exchange vulnérables avaient été corrigés ou des protections en place. However, la société de cybersécurité F-Secure a déterminé que «des dizaines de milliers» de serveurs Exchange avaient été compromis. Indeed

In a new blog post, Microsoft a réitéré son avertissement: “L’application de correctifs au système ne supprime pas nécessairement l’accès des attaquants

De nombreux systèmes compromis n’ont pas encore subi une action secondaire, telle qu’une attaque de ransomware ou un vol de données, indiquant que les attaquants peuvent établir et maintenir leur accès pour une éventuelle action supplémentaire”, déclare l’équipe Microsoft 365 Defender Threat Intelligence dans son blog Fonction

Lors de la compromission des systèmes, Microsoft exhorte les administrateurs à appliquer le principe du moindre privilège et à restreindre le trafic latéral sur le réseau Le principe du moindre privilège aidera à résoudre les situations dans lesquelles un service Exchange ou une tâche planifiée est configuré avec un compte à privilèges élevés pour effectuer tâches telles que les sauvegardes

Étant donné que les informations d’identification du compte de service ne changent pas fréquemment, cela pourrait fournir un avantage significatif à l’attaquant même s’il perd son accès initial en raison de la détection de virus, car le compte peut être utilisé pour lever les privilèges plus tard”, note Microsoft

En utilisant le ransomware DoejoCrypt, également connu sous le nom de DearCry, à titre d’exemple, Microsoft note que les shells Web utilisés par cette souche de malware écrit un fichier de commandes dans la palette C: Windows Temp xx Ce fichier se trouve sur tous les systèmes affectés par DoejoCrypt et peut fournir L’attaquant a un moyen de retrouver l’accès à l’endroit où les infections ont été détectées et supprimées

Ce fichier de commandes effectue une copie de sauvegarde de la base de données de Security Account Manager (SAM), du système et des clés de registre de sécurité, permettant aux attaquants d’accéder ultérieurement aux mots de passe des utilisateurs locaux sur le système et, mostly, dans le LSA [Local Security Référence] Partie Secrets Depuis le registre, où sont stockés les mots de passe des services et des tâches planifiés, “note Microsoft

Même lorsque les victimes ne sont pas libérées, l’attaquant utilise un fichier xx qui permet à chauve-souris d’explorer un réseau via la couverture Web qui a déposé le fichier en premier lieu. Le shell Web télécharge également le kit de test de pénétration de frappe Cobalt avant de télécharger le la charge utile du ransomware et le chiffrement des fichiers En d’autres termes, la victime n’a peut-être pas été rançonnée aujourd’hui, mais l’attaquant a laissé les outils nécessaires sur le réseau pour le faire demain.

Une autre menace pour les cybercriminels exposés aux serveurs Exchange provient des mineurs de crypto-monnaie. Les robots de crypto-monnaie ont remarqué que Lemon Duck exploitait des serveurs Exchange vulnérables. Interesting fact, les opérateurs de Lemon Duck ont ​​nettoyé le serveur Exchange à l’aide du fichier xxbat et du shell Web pour assurer un accès exclusif à Exchange Serveur

Microsoft a également découvert qu’il est utilisé pour installer d’autres logiciels malveillants au lieu de simplement extraire de la crypto-monnaie

Microsoft a publié plusieurs indicateurs de règlement que les avocats peuvent utiliser pour vérifier ces menaces et marques de vol d’informations d’identification

Microsoft se félicite de la publication des correctifs d’échange urgents début mars pour remédier aux vulnérabilités

matter:
Cyber ​​attack
Cybercriminality
Electronic security

By

Liam Tong

|
Monday 29 mars 2021

Get the best news from IT professionals delivered to your inbox every day

We are temporarily in maintenance mode, which means you will not be able to subscribe to a newsletter. Please try again in a few moments to resume the subscription process. Thank you for your patience.

Discover our file

We support small and medium-sized businesses in the development of their IT We share with you our customer stories, webinars and white papers
5 computer files to be discovered each month

Discover the next generation of storage units that deliver uptime, unmatched performance and agility
Register for the webinar

Telecommuting, infrastructure, tips and innovations
Discover our new section

Copyright © 2021 ZDNET, A RED VENTURES COMPANY All rights reserved CUP Interactive SAS (France) All rights reserved | Confidentiality Cookies | Privacy management settings

Microsoft Exchange Server, security vulnerabilities

News – FR – Exchange: Microsoft partage des informations sur les activités post-violation
Associated title :
Exchange: Microsoft shares information about its post-pirated activities
– The Microsoft Exchange vulnerabilities have affected most banking and financial sectors: report

Source: https://www.zdnet.fr/actualites/exchange-microsoft-partage-des-informations-sur-les-activites-post-compromission-39920149.htm

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/