Détection du nouveau flux d’exploitation ProxyShell
Table des matières :
Assurez-vous d’avoir sécurisé vos serveurs Microsoft Exchange contre les vulnérabilités ProxyShell car les hackers inventent de nouvelles astuces pour tirer parti des instances exposées. Actuellement, les chercheurs observent de multiples campagnes de phishing qui exploitent les failles néfastes pour la livraison de logiciels malveillants. De plus, les bugs ProxyShell sont de plus en plus utilisés dans une gamme d’opérations visant l’infection par ransomware.
Nouvelles chaînes d’attaques pour délivrer une multitude de menaces
Selon la récente enquête par Mandiant, les adversaires exploitent les failles de ProxyShell pour déposer des webshells sur les systèmes exposés de manière innovante et furtive. Dans certaines des intrusions analysées, l’étape du webshell est entièrement omise, les attaquants se fiant à des boîtes mail privilégiées cachées pour prendre le contrôle des comptes et effectuer d’autres actions discrètes.
Avec le flux d’exploitation mis à jour pour ProxyShell, une avalanche d’attaques a éclaté. Par exemple, le rapport DFIR détaille une opération néfaste par APT35 (Charming Kitten, TA453) lancée à la fin de septembre 2021. Le collectif de hackers a utilisé les exploits ProxyShell pour effectuer de la reconnaissance sur les systèmes attaqués, procéder à un dumping LSASS, et connecter RDP via proxy dans l’environnement. En conséquence, l’acteur a réussi à infecter les systèmes à l’échelle du domaine en utilisant des échantillons de ransomwares BitLocker et DiskCryptor.
Une autre campagne malveillante exploitant les vulnérabilités ProxyShell a récemment été détaillée par Trend Micro. En particulier, les attaquants ont exploité les failles ProxyShell et ProxyLogon pour malspam les réponses aux fils de discussion de courriel existants et infecter les victimes avec le chargeur SquirrelWaffle. Les courriels de phishing livrent des fichiers Word et Excel piégés présentant des macros malveillantes. Si activé, un script lance un chargeur DLL qui à son tour télécharge la charge utile SquirrelWaffle. L’échantillon malveillant final est soit CobaltStrike soit Qbot. Le chercheur en cybersécurité TheAnalyst fournit des détails supplémentaires de cette campagne, affirmant que le collectif TA557 (tr01/TR) est derrière elle.
Vulnérabilités ProxyShell
ProxyShell est un titre unique pour un trio de failles distinctes (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) qui, si enchaînées, permettent aux hackers d’atteindre le niveau d’accès administrateur et d’effectuer une exécution de code à distance sur des serveurs Microsoft Exchange vulnérables. Plusieurs versions de serveur Exchange sont affectées, notamment 2013, 2016 et 2019.
Bien que les failles ProxyShell aient été divulguées publiquement en juillet, Microsoft a résolu ces problèmes de sécurité notoires dès mai 2021. Tous les utilisateurs ayant les correctifs de mai ou juillet installés ont leurs systèmes sécurisés. Pourtant, la recherche récente sur Shodan indique que plus de 23 000 serveurs sont encore exposés aux intrusions, permettant aux hackers de compromettre des systèmes dans le monde entier.
Détection de nouvelles attaques ProxyShell
Pour aider les praticiens de la sécurité à détecter les activités malveillantes associées à de nouvelles tentatives d’exploitation de ProxyShell, vous pouvez télécharger un ensemble de contenu de détection dédié disponible dans le dépôt Threat Detection Marketplace :
Exécution de Conti Ransomware avec l’exploit ProxyShell
Exploitation Exchange / Ransomware
Vous recherchez le meilleur contenu SOC compatible avec vos solutions SIEM, EDR et NTDR ? Explorez la plateforme Detection as Code de SOC Prime pour répondre à vos cas d’utilisation personnalisés, booster la découverte et la chasse aux menaces, et obtenir une visualisation complète des progrès de votre équipe. Passionné par la chasse aux menaces et désireux de contribuer à la première bibliothèque de contenu SOC de l’industrie ? Rejoignez notre programme de récompenses de menaces !
