Opération Maraudeur Exchange

Le groupe APT HAFNIUM exploite les failles zero-day de Microsoft Exchange pour voler des données et installer des logiciels malveillants

En janvier 2021, des chercheurs en sécurité de Violexity ont révélé une opération malveillante à long terme lancée par le groupe APT HAFNIUM affilié à la Chine contre un certain nombre d’organisations non nommées. Les auteurs de la menace ont tiré parti d’un ensemble de vulnérabilités zero-day jusqu’alors non divulguées dans Microsoft Exchange pour accéder à des informations sensibles de l’entreprise et effectuer d’autres actions néfastes après l’intrusion.

Vulnérabilités zero-day dans Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)

Les chercheurs rapportent qu’un total de quatre nouvelles vulnérabilités zero-day ont été exploitées dans la nature lors de l’opération Exchange Marauder.

La première faille exploitée par les acteurs de la menace HAFNIUM est un défaut de demande côté serveur (SSRF) (CVE-2021-26855) qui pourrait permettre à un acteur non autorisé à distance d’envoyer des requêtes HTTP arbitraires au port 443 et de s’authentifier en tant que serveur Exchange. En conséquence, les attaquants peuvent facilement accéder aux boîtes mail de l’entreprise sans connaissances spéciales sur le réseau ciblé.

Le prochain problème zero-day utilisé lors de la campagne est une faille de désérialisation non sécurisée (CVE-2021-26857) résidant dans le service de messagerie unifiée. Ce trou de sécurité permet aux hackers de faire exécuter du code arbitraire en tant que SYSTEM sur le serveur Exchange vulnérable. Cependant, une exploitation réussie nécessite des droits d’administrateur ou une autre faille à exploiter en premier.

Les deux autres zero-days restants sont des défauts d’écriture de fichiers arbitraires post-authentification (CVE-2021-26858, CVE-2021-27065) qui permettent d’écrire un fichier à n’importe quel emplacement sur le serveur compromis. L’exploitation nécessite une authentification, qui pourrait être obtenue via la faille SSRF (CVE-2021-26855) ou en détenant des identifiants administrateurs.

Opération Exchange Marauder : Détails de l’attaque

Microsoft rapporte que des acteurs soutenus par l’État chinois ont utilisé la combinaison des zero-days mentionnés ci-dessus pour déposer des web shells sur les systèmes et extraire des données de messagerie ainsi que des identifiants d’administrateur. De plus, les adversaires ont réussi à accéder au carnet d’adresses hors ligne (OAB) pour Exchange. Tous les détails rassemblés pourraient servir pour une reconnaissance plus poussée contre les organisations ciblées.

Les fournisseurs attaqués lors de l’opération Exchange Marauder restent non divulgués. Cependant, les campagnes précédentes de l’APT HAFNIUM laissent penser que des organisations de haut niveau situées aux États-Unis pourraient être visées. Auparavant, les acteurs de la menace avaient été identifiés à compromettre divers actifs à travers les États-Unis, y compris ceux liés aux entreprises industrielles, aux institutions éducatives, aux think tanks et aux organisations non gouvernementales.

Notamment, outre l’APT HAFNIUM, plusieurs autres groupes de hackers orientés vers l’espionnage cybernétique ont été identifiés tirant parti des zero-days de Microsoft Exchange dans la nature. En particulier, ESET a repéré l’exploitation active de la faille SSRF (CVE-2021-26855) contre des entités aux États-Unis, en Allemagne, en France et au Kazakhstan.

Détection et atténuation

Selon l’avis de Microsoft, les nouveaux zero-days affectent les versions 2010, 2013, 2016 et 2019 de Microsoft Exchange Server. Des correctifs hors cycle ont été publiés le 2 mars 2021, donc les utilisateurs sont invités à mettre à jour dès que possible.

En raison de l’exploitation active et pour faciliter la détection rapide des attaques, en collaboration avec Microsoft, l’équipe de SOC Prime a urgentement publié un ensemble de règles Sigma gratuites pour identifier les activités malveillantes possibles liées aux zero-days nouvellement découverts.

Possible Unknown Exchange 0 Day March 2021 (via web)

Possible HAFNIUM Webshell March 2021 (via web)

Possible Exchange CVE-2021-26858 (via file_event)

Powershell Exchange Snapin (via cmdline)

Possible Exchange CVE-2021-26858 (via audit)

Powershell Opens Raw Socket (via cmdline)

Unknown Exchange 0day Relevant Crash Event (via application)

UMWorkerProcess Creating Unusual Child Process CVE-2021-26857 (via cmdline)

Mise à jour du 18/03/2021 : Pour renforcer la défense proactive contre les attaques possibles exploitant les vulnérabilités zero-day de Microsoft Exchange, le développeur actif de Threat Bounty de SOC Prime, Emir Erdogan a publié un ensemble de règles Sigma communautaires. Explorez les détections via les liens ci-dessous.

Post-Exploitation Web-Shell Access To Exchange Servers (Web Log User-Agents)

CVE-2021-27065 Exploité sur le serveur Exchange pour déployer le webshell CHOPPER

Exploitation active de l’opération Marauder des vulnérabilités Microsoft Exchange zero-day multiples (via WebServer)

Exploitation post-Microsoft Exchange Hafnium (via tâche planifiée et proxy)

Création possible de fichiers par des processus connus déposant des webshells CVE-2021-26858

Restez à l’écoute des dernières mises à jour du Threat Detection Marketplace et ne manquez pas le nouveau contenu SOC lié à ces graves problèmes. Toutes les nouvelles règles seront ajoutées à cet article.

Obtenez un abonnement gratuit au Threat Detection Marketplace, une plateforme de Content-as-a-Service (CaaS) leader mondial, regroupant plus de 96 000 règles de détection et de réponse pour une défense cyber proactive. Vous voulez créer votre propre contenu de détection ? Rejoignez notre programme Threat Bounty et contribuez aux initiatives mondiales de chasse aux menaces.