Dans une révélation récente, un acteur malveillant a été exploitant des vulnérabilités dans Microsoft Exchange Server pour infiltrer les systèmes et déployer un logiciel malveillant de type keylogger. Cette attaque a touché plus de 30 organisations en Afrique et au Moyen-Orient, selon la société de cybersécuritéLes solutions de cybersécurité sont essentielles à l’ère di… Positive Technologies. Les victimes incluent des organismes gouvernementaux, des institutions financières et éducatives. La première infiltration enregistrée remonte à 2021.
Vulnérabilité dans MS Exchange Server
Positive Technologies a détaillé le modus operandi de ce keylogger, qui collecte les identifiants de comptes et les stocke dans un fichier accessible via un chemin spécifique sur Internet. Les pays affectés incluent la Russie, les Émirats Arabes Unis, le Koweït, Oman, le Niger, le Nigeria, l’Éthiopie, Maurice, la Jordanie et le Liban.
Brèches de Sécurité dans le Réseau
L’infiltration a exploité des vulnérabilités connues sous le nom de failles ProxyShell, spécifiquement CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207. Microsoft a traité ces failles en mai 2021, permettant l’évasion d’authentification, l’élévation de privilèges et l’exécution de code à distance, facilitant l’installation du keylogger sur la page d’accueil de Exchange Server.
Chaîne d’Exploitation des Vulnérabilités
L’attaque commence par l’exploitation de ProxyShell, suivie par l’ajout subreptice du keylogger sur la page d’accueil du serveur, spécifiquement dans le fichier « logon.aspx ». Cette injection de code capture les identifiants de connexion qui sont ensuite stockés dans un fichier accessible via Internet quand l’utilisateur clique sur le bouton de connexion.
Mesures de Protection
Il est crucial que les organisations mettent à jour leurs instances de Microsoft Exchange Server à la dernière version pour atténuer les risques relatifs à la confidentialité des données. La protection des points d’extrémité est essentielle pour sauvegarder les dispositifs contre les cybermenaces en évolution. Il est recommandé de surveiller et contrôler le système, en particulier la présence du keylogger dans le fichier « logon.aspx ». En cas de compromission détectée, il est vital d’identifier et d’éliminer le fichier qui stocke les données de compte volées.
Stratégies de Réponse aux Incidents
Assurer la sécurité du serveur de messagerie est primordial dans le paysage numérique actuel. Les organisations doivent mettre à jour leurs instances de Exchange Server sans tarder et réaliser des évaluations rigoureuses pour assurer l’intégrité de leurs systèmes. Intégrer l’intelligence relative aux menaces dans les opérations de cybersécurité améliore les stratégies de détection et de mitigation proactives.
Les vulnérabilités dans Microsoft Exchange Server qui permettent le déploiement de keyloggers soulignent l’évolution constante des menaces à la cybersécurité. Rester informé, adopter les mises à jour de sécurité et collaborer avec les experts en cybersécurité sont des étapes essentielles pour protéger les actifs numériques et maintenir l’intégrité des opérations face aux menaces émergentes.
Sources : The Hacker news, SCMagazine et Tuxcare.