Des pirates ciblent les serveurs Exchange non corrigés et toujours vulnérables, notamment pour diffuser une nouvelle souche de ransomware nommée DearCry.
Quatre exploits dans Microsoft Exchange Server ont fait l’actualité la semaine dernière, lorsque nous avons appris qu’un groupe de pirates chinois avait ciblé les serveurs de messagerie de quelque 30 000 organisations gouvernementales et commerciales américaines. Les exploits avaient été corrigés par Microsoft, mais le groupe de hackers connu sous le nom de «Hafnium « a doublé ses efforts en ciblant les serveurs non corrigés.
La société de recherche en sécurité ESET a découvert qu’au moins 10 groupes profitent des exploits pour tenter de compromettre des serveurs dans le monde entier. Winniti Group, Calypso, Tick, etc. font partie des groupes identifiés.
La firme de sécurité ajoute que «ces derniers jours, les chercheurs d’ESET surveillent de près le nombre de détections de web shell pour ces exploits. À la date de publication, nous avions observé plus de 5 000 serveurs uniques dans plus de 115 pays où se trouvaient des web shells. marqué. »En utilisant les exploits d’Exchange Server pour installer des interpréteurs de commandes Web, les pirates peuvent obtenir le contrôle à distance d’un serveur via un navigateur Web.
Suivi de ce rapport, une activité de ransomware a également été détectée alors que des pirates tentent de profiter de la lenteur des correctifs sur les serveurs Exchange, avec des taux d’attaque « doublant toutes les quelques heures. » exiger le paiement des victimes pour la divulgation des données.
Microsoft Defender customers utilizing automatic updates do not need to take additional action to receive these protections. On-premises Exchange Server customers should prioritize the security updates outlined here: https://t.co/DL1XWnitYO
— Microsoft Security Intelligence (@MsftSecIntel) March 12, 2021
En fin de compte, les organisations doivent appliquer de toute urgence des correctifs à leurs serveurs à l’aide de la mise à jour de Microsoft, avant de vérifier attentivement les journaux pour voir si les shells Web ont déjà été installés.
Pour protéger davantage les serveurs, il est conseillé aux organisations de restreindre l’accès au réseau aux utilisateurs (via un VPN, par exemple). Cela devrait protéger les serveurs à la fois des exploits actuels et de tous les futurs qui surgiront inévitablement dans les années à venir.
