Le mardi 2 mars, le Microsoft Threat Intelligence Center (MTIC) a révélé des détails sur une campagne baptisée Hafnium qui cible les serveurs Microsoft Exchange sur site. L'attaque exploite plusieurs failles de 0 jour dans Exchange et permet aux attaquants de contourner l'authentification, y compris l'authentification multifactorielle (MFA) pour accéder aux comptes de messagerie au sein des organisations ciblées et exécuter à distance malware sur les serveurs Microsoft Exchange vulnérables et faciliter l'accès à long terme.
L'attaque a commencé par un balayage global des serveurs Microsoft Exchange vulnérables tournés vers l'extérieur. Lorsqu'un serveur intéressant a été identifié, les attaquants ont tiré parti d'un exploit à distance de type SSRF (server-side request forgery) pour télécharger un shell web connu sous le nom de China Chopper. Ce shell web a permis aux attaquants de voler des données de courrier électronique et de s'introduire potentiellement plus profondément dans l'environnement du réseau.
Il convient de noter que cette vulnérabilité ne semble pas avoir d'impact sur Microsoft Office 365.
Vectra Les clients disposant de Detect doivent examiner toutes les détections associées à leurs serveurs Exchange. Le reverse shell documenté dans les attaques déclenchera une détection External Remote Access et l'exfiltration de données du serveur Exchange par ce canal déclenchera une alerte Smash & Grab. Tout signe de reconnaissance interne ou de mouvement latéral à partir du serveur Exchange doit être examiné attentivement, car ces alertes indiqueraient un mouvement de l'attaquant plus profondément dans le réseau.
Vectra clients avec Recall ou Stream doivent examiner les connexions en provenance et à destination de leur serveur Exchange. Dans les cas où les capteurs de Vectra ont une visibilité sur le trafic sortant et entrant vers leurs serveurs Exchange, les équipes doivent vérifier les tentatives de connexion à partir de l'une des IP suivantes : 165.232.154.116, 157.230.221.198, et 161.35.45.41. Utilisez les requêtes ci-dessous pour trouver les hôtes potentiellement concernés.
{
"query": {
"bool":{
"devrait" : [
{
"match_phrase": {
"id.orig_h" : "165.232.154.116"
}
},
{
"match_phrase": {
"id.orig_h" : "157.230.221.198"
}
},
{
"match_phrase": {
"id.orig_h" : "161.35.45.41"
}
}
],
"minimum_should_match" : 1
}
}
}
Comme toujours, Vectra recommande à ses clients de mettre à jour leurs serveurs Exchange avec les correctifs disponibles auprès de Microsoft dès que possible, ou de limiter l'accès externe à ces serveurs Exchange jusqu'à ce qu'un correctif puisse être appliqué.
Pour en savoir plus sur la façon dont Vectra peut vous aider si vous pensez avoir été compromis par la violation, planifiez une démonstration pour voir comment Vectra peut détecter et arrêter des attaques comme celles-ci dans votre organisation ou contactez-nous.