Les acteurs malveillants n'ont pas cessé de chercher à exploiter la vulnérabilité CVE-2020-0688 dans les serveurs Microsoft Exchange connectés à Internet, a récemment averti la National Security Agency (NSA).
Cette menace particulière n'aurait probablement rien d'extraordinaire si toutes les organisations disposant de serveurs vulnérables avaient été corrigées comme Microsoft l'avait recommandé.
Selon un Tweet de la NSA, un pirate informatique n'a besoin que d'informations d'identification de messagerie valides pour exécuter du code sur un serveur non corrigé, à distance.
Une exécution de code à distance #vulnérabilité (CVE-2020-0688) existe dans Microsoft Exchange Server. S'il n'est pas corrigé, un attaquant avec des informations d'identification de messagerie peut exécuter des commandes sur votre serveur.
Guide d'atténuation disponible à l'adresse: https://t.co/MMlBo8BsB0
– NSA/CSS (@NSAGov) 7 mars 2020
Les acteurs APT s'attaquent activement aux serveurs non corrigés
Nouvelles d'une analyse à grande échelle des serveurs MS Exchange non corrigés a fait surface le 25 février 2020. À cette époque, il n'y avait pas eu un seul rapport d'une violation de serveur réussie.
Mais une organisation de cybersécurité, Zero Day Initiative, avait déjà publié un vidéo de démonstration de faisabilité, montrant comment exécuter une attaque CVE-2020-0688 à distance.
Il semble maintenant que la recherche de serveurs exposés sur Internet ait porté ses fruits à l'agonie de plusieurs organisations prises au dépourvu. Selon plusieurs rapports, dont un Tweet d'une entreprise de cybersécurité, il y a une exploitation active des serveurs Microsoft Exchange.
Exploitation active des serveurs Microsoft Exchange par les acteurs APT via la vulnérabilité ECP CVE-2020-0688. En savoir plus sur les attaques et comment protéger votre organisation ici: https://t.co/fwoKvHOLaV#dfir#threatintel#infosecpic.twitter.com/2pqe07rrkg
- Volexity (@Volexity) 6 mars 2020
Ce qui est encore plus alarmant, c'est l'implication des acteurs de la menace persistante avancée (APT) dans l'ensemble du programme.
En règle générale, les groupes APT sont des États ou des entités parrainées par l'État. Ils sont connus pour avoir la technologie et la puissance financière nécessaires pour attaquer furtivement certains des réseaux ou des ressources informatiques d'entreprise les mieux protégés.
Microsoft a évalué la gravité de la vulnérabilité CVE-2020-0688 comme importante il y a près d'un mois. Cependant, la faille RCE doit encore mériter une sérieuse considération aujourd'hui, étant donné que la NSA le rappelle au monde de la technologie.
Serveurs MS Exchange concernés
Assurez-vous de corriger dès que possible pour éviter un désastre potentiel si vous utilisez toujours un serveur MS Exchange non corrigé et accessible sur Internet. Il y a mises à jour de sécurité pour les versions de serveur concernées 2010, 2013, 2016 et 2019.
Lors de la publication des mises à jour, Microsoft a déclaré que la vulnérabilité en question compromettait la capacité du serveur à générer correctement les clés de validation lors de l'installation. Un attaquant pourrait exploiter cette faille et exécuter à distance un code malveillant dans un système exposé.
La connaissance d'une clé de validation permet à un utilisateur authentifié avec une boîte aux lettres de transmettre des objets arbitraires à désérialiser par l'application Web, qui s'exécute en tant que SYSTEM.
La plupart des chercheurs en cybersécurité pensent qu'une brèche dans un système informatique de cette manière peut ouvrir la voie à des attaques par déni de service (DDoS). Cependant, Microsoft n'a pas reconnu avoir reçu de signalement d'une telle violation.
Pour l'instant, il semble que l'installation du correctif soit le seul remède disponible pour la vulnérabilité du serveur CVE-2020-0688.
