L’APT Hafnium cible actuellement les serveurs Exchange d’entreprises ciblées

L’APT Hafnium cible actuellement les serveurs Exchange d’entreprises ciblées

Dans un article publié hier, les équipes de Threat Intelligence de Microsoft ont annoncé que plusieurs vulnérabilités critiques ont été identifiées et sont activement exploitées à l’encontre de serveurs Exchange appartenant à des entreprises ciblées (la version Exchange Online n’est pas impactée).


Attaque en cours

Attribuée au groupe Hafnium, un APT supposément lié au gouvernement chinois, cette campagne permettrait à ses opérateurs de compromettre des comptes utilisateurs au sein d’une organisation Exchange pour accéder à leurs emails et ensuite procéder à la mise en place de portes dérobées visant à maintenir leur accès.

Une fois l’accès au serveur obtenu, les attaquants déploient un webshell écrit en ASP pour maintenir leur accès. Ils utilisent l’outil Procdump pour récupérer la mémoire du processus LSASS, compressent les données à exfiltrer avec 7-Zip et mettent en place un reverse shell à l’aide des outils Nishang et PowerCat.

Dans plusieurs cas, les acteurs derrière cette campagne sont parvenus à télécharger le contenu des boites mails et les carnets d’adresses stockés sur le serveur Exchange.

Microsoft a publié une liste des vulnérabilités identifiées dans le cadre de cette campagne et a publié un correctif.

 

Un correctif exceptionnel pour Microsoft Exchange

Au sein de ce correctif, Microsoft adresse 7 vulnérabilités, dont 4 sont utilisées dans le cadre de la campagne d’attaque.

La vulnérabilité exploitée en tant que point d’entrée, référencée CVE-2021-26855, provenait d’une erreur non détaillée par Microsoft dans le mécanisme d’authentification. Son exploitation permettait à un attaquant distant de s’authentifier et d’envoyer des requêtes en usurpant l’identité du serveur Exchange (Server Side Request Forgery).

La deuxième vulnérabilité, référencée CVE-2021-26857, provenait d’une erreur dans la validation des données saisies par un utilisateur au sein du service Unified Messaging. Son exploitation permettait à un attaquant d’exécuter du code avec les privilèges SYSTEM sur le serveur Exchange en désérialisant des données spécifiquement conçue. Un accès administrateur au serveur Exchange est nécessaire pour exploiter cette vulnérabilité.

Enfin, les deux dernières failles exploitées dans le cadre de cette campagne sont référencées CVE-2021-26858 et CVE-2021-27065. Elles proviennent d’erreurs non spécifiées par Microsoft. Leur exploitation permettait à un attaquant authentifié de créer ou d’écraser n’importe quel fichier sur le serveur.

 

Recommandations du CERT-XMCO

Au vu de l’attaque en cours, il est recommandé d’appliquer les correctifs le plus rapidement possible.

Afin de déterminer si vos serveur sont vulnérables, un script Nmap est disponible à cette adresse.

De plus, les vulnérabilités et le mode opératoire sont aujourd’hui très détaillés sur Internet. Il est probable qu’un code d’exploitation soit publié dans les prochains jours. De nouvelles campagnes d’attaques seront alors susceptibles de débuter.

Les correctifs publiés par Microsoft sont disponibles aux adresses suivantes :


Antoine Dumouchel

Analyste CERT-XMCO, Responsable du service de Veille Yuno