Sécurité: Si vous scannez un serveur Exchange infecté, vous devez rechercher des traces d’attaques multiples, avertit Microsoft

Par

Liam Tong

|
Lundi 29 mars 2021

Plusieurs serveurs Exchange sur site ont réussi à mettre en œuvre les correctifs, mais Microsoft a révélé que son enquête montre que plusieurs menaces se cachent dans des systèmes qui ont déjà été compromis

Le géant de la technologie tire la sonnette d’alarme sur les attaques potentielles ciblant les serveurs Exchange qui ont déjà été compromis, en particulier si les attaquants ont utilisé des scripts web shell pour gagner en stabilité sur le serveur, ou si l’attaquant a volé des informations d’identification lors d’attaques précédentes

Microsoft a publié des correctifs pour les systèmes Exchange le 2 mars. Quatre bogues Exchange ont déjà été attaqués par un groupe de hackers appelé Hafnium

Plus tôt cette semaine, Microsoft a annoncé que 92% des serveurs Exchange vulnérables avaient été corrigés ou des protections en place. Cependant, la société de cybersécurité F-Secure a déterminé que «des dizaines de milliers» de serveurs Exchange avaient été compromis. En effet

Dans un nouveau billet de blog, Microsoft a réitéré son avertissement: “L’application de correctifs au système ne supprime pas nécessairement l’accès des attaquants”

“De nombreux systèmes compromis n’ont pas encore subi une action secondaire, telle qu’une attaque de ransomware ou un vol de données, indiquant que les attaquants peuvent établir et maintenir leur accès pour une éventuelle action supplémentaire”, déclare l’équipe Microsoft 365 Defender Threat Intelligence dans son blog Fonction

Lors de la compromission des systèmes, Microsoft exhorte les administrateurs à appliquer le principe du moindre privilège et à restreindre le trafic latéral sur le réseau Le principe du moindre privilège aidera à résoudre les situations dans lesquelles un service Exchange ou une tâche planifiée est configuré avec un compte à privilèges élevés pour effectuer tâches telles que les sauvegardes

“Étant donné que les informations d’identification du compte de service ne changent pas fréquemment, cela pourrait fournir un avantage significatif à l’attaquant même s’il perd son accès initial en raison de la détection de virus, car le compte peut être utilisé pour lever les privilèges plus tard”, note Microsoft

En utilisant le ransomware DoejoCrypt, également connu sous le nom de DearCry, à titre d’exemple, Microsoft note que les shells Web utilisés par cette souche de malware écrit un fichier de commandes dans la palette C: Windows Temp xx Ce fichier se trouve sur tous les systèmes affectés par DoejoCrypt et peut fournir L’attaquant a un moyen de retrouver l’accès à l’endroit où les infections ont été détectées et supprimées

“Ce fichier de commandes effectue une copie de sauvegarde de la base de données de Security Account Manager (SAM), du système et des clés de registre de sécurité, permettant aux attaquants d’accéder ultérieurement aux mots de passe des utilisateurs locaux sur le système et, surtout, dans le LSA [Local Security Référence] Partie Secrets Depuis le registre, où sont stockés les mots de passe des services et des tâches planifiés, “note Microsoft

Même lorsque les victimes ne sont pas libérées, l’attaquant utilise un fichier xx qui permet à chauve-souris d’explorer un réseau via la couverture Web qui a déposé le fichier en premier lieu. Le shell Web télécharge également le kit de test de pénétration de frappe Cobalt avant de télécharger le la charge utile du ransomware et le chiffrement des fichiers En d’autres termes, la victime n’a peut-être pas été rançonnée aujourd’hui, mais l’attaquant a laissé les outils nécessaires sur le réseau pour le faire demain.

Une autre menace pour les cybercriminels exposés aux serveurs Exchange provient des mineurs de crypto-monnaie. Les robots de crypto-monnaie ont remarqué que Lemon Duck exploitait des serveurs Exchange vulnérables. Fait intéressant, les opérateurs de Lemon Duck ont ​​nettoyé le serveur Exchange à l’aide du fichier xxbat et du shell Web pour assurer un accès exclusif à Exchange Serveur

Microsoft a également découvert qu’il est utilisé pour installer d’autres logiciels malveillants au lieu de simplement extraire de la crypto-monnaie

Microsoft a publié plusieurs indicateurs de règlement que les avocats peuvent utiliser pour vérifier ces menaces et marques de vol d’informations d’identification

Microsoft se félicite de la publication des correctifs d’échange urgents début mars pour remédier aux vulnérabilités

matière:
Cyber ​​attaque
Cybercriminalité
Sécurité électronique

Par

Liam Tong

|
Lundi 29 mars 2021

Recevez chaque jour les meilleures nouvelles des professionnels de l’informatique dans votre boîte de réception

Nous sommes temporairement en mode maintenance, ce qui signifie que vous ne pourrez pas vous abonner à une newsletter. Veuillez réessayer dans quelques instants pour reprendre le processus d’abonnement. Merci de votre patience.

Découvrez notre dossier

Nous accompagnons les petites et moyennes entreprises dans le développement de leur informatique Nous partageons avec vous nos témoignages clients, webinaires et livres blancs
5 fichiers informatiques à découvrir chaque mois

Découvrez la nouvelle génération d’unités de stockage qui offrent une disponibilité, des performances et une agilité inégalées
Inscrivez-vous au webinaire

Télétravail, infrastructure, astuces et innovations
Découvrez notre nouvelle section

Copyright © 2021 ZDNET, A RED VENTURES COMPANY Tous droits réservés CUP Interactive SAS (France) Tous droits réservésMentions légales | Confidentialité Cookies | Paramètres de gestion de la confidentialité

Microsoft Exchange Server, vulnérabilités de sécurité

Actualités – FR – Exchange: Microsoft partage des informations sur les activités post-violation
Titre associé :
Exchange: Microsoft partage des informations sur son activités post-piratées
– Les Les vulnérabilités de Microsoft Exchange ont affecté la plupart des secteurs bancaires et financiers: rapport

Source: https://www.zdnet.fr/actualites/exchange-microsoft-partage-des-informations-sur-les-activites-post-compromission-39920149.htm

En s’appuyant sur ses expertises dans les domaines du digital, des technologies et des process , CSS Engineering vous accompagne dans vos chantiers de transformation les plus ambitieux et vous aide à faire émerger de nouvelles idées, de nouvelles offres, de nouveaux modes de collaboration, de nouvelles manières de produire et de vendre.

CSS Engineering s’implique dans les projets de chaque client comme si c’était les siens. Nous croyons qu’une société de conseil devrait être plus que d’un conseiller. Nous nous mettons à la place de nos clients, pour aligner nos incitations à leurs objectifs, et collaborer pour débloquer le plein potentiel de leur entreprise. Cela établit des relations profondes et agréables.

Nos services:

  1. Création des sites web professionnels
  2. Hébergement web haute performance et illimité
  3. Vente et installation des caméras de vidéo surveillance
  4. Vente et installation des système de sécurité et d’alarme
  5. E-Marketing

Toutes nos réalisations ici https://www.css-engineering.com/en/works/