Failles dans le serveur Microsoft Exchange exploitées pour déployer un keylogger en Afrique et au Moyen-Orient

Un acteur cybernétique non identifié exploite des failles de sécurité connues dans Microsoft Exchange Server pour déployer un logiciel de type keylogger, visant à espionner des entités en Afrique et au Moyen-Orient.

Positive Technologies, une firme russe spécialisée en cybersécurité, a révélé que plus de 30 victimes, dont des agences gouvernementales, des banques, des entreprises informatiques et des institutions éducatives, ont été identifiées.

Le premier compromis date de 2021.

Selon Positive Technologies, « ce keylogger collectait des identifiants de compte dans un fichier accessible via un chemin spécifique sur internet ».

Les pays ciblés par cette série d’intrusions incluent la Russie, les Émirats Arabes Unis, le Koweït, Oman, le Niger, le Nigéria, l’Éthiopie, Maurice, la Jordanie et le Liban.

Pour plus de détails sur ces découvertes, consultez l’article complet sur Positive Technologies.

Exploitation des failles ProxyShell

Le début de ces attaques repose sur l’exploitation des vulnérabilités ProxyShell (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207), qui avaient été corrigées par Microsoft en mai 2021.

L’exploitation réussie de ces failles permet à un attaquant de contourner l’authentification, d’élever ses privilèges et de réaliser des exécutions de code à distance sans authentification.

Cette chaîne d’exploitation avait été découverte et publiée par Orange Tsai de l’équipe de recherche DEVCORE.

Suite à l’exploitation ProxyShell, les attaquants ont ajouté le keylogger à la page principale des serveurs (« logon.aspx »), y injectant également un code qui capture les identifiants dans un fichier accessible depuis internet, lors de la connexion des utilisateurs.

Positive Technologies n’a pas encore attribué ces attaques à un acteur ou groupe de menace spécifique, faute d’informations supplémentaires.

Recommandations et mesures

Outre la mise à jour de leurs instances de Microsoft Exchange Server vers la version la plus récente, les organisations sont vivement encouragées à rechercher des signes potentiels de compromission sur la page principale de leur serveur Exchange, incluant la fonction clkLgn() où le keylogger pourrait être inséré.

« Si votre serveur a été compromis, identifiez les données de compte qui ont été volées et supprimez le fichier où ces données sont stockées par les hackers », a conseillé la société.

« Vous pouvez trouver le chemin vers ce fichier dans le fichier logon.aspx ».

En somme, cet incident met en lumière l’importance capitale de la mise à jour régulière des systèmes et d’une surveillance proactive des signes de compromission pour protéger les informations sensibles contre les acteurs malveillants. La vigilance et la réactivité sont essentielles dans la lutte contre les cybermenaces persistantes.

Les Révélations et leurs Conséquences en Cybersécurité

L’utilisation des vulnérabilités ProxyShell pour déployer un keylogger sur les serveurs Exchange représente un risque considérable pour les entreprises et les particuliers.

L’accès non autorisé à des identifiants sensibles peut entraîner des vols de données, des compromissions de comptes, et des pertes financières significatives.

Les agences gouvernementales et les institutions financières, en particulier, sont à risque élevé, pouvant avoir des répercussions sur la sécurité nationale et la stabilité économique des régions ciblées.

De plus, les institutions éducatives et les entreprises informatiques pourraient voir leurs données critiques exfiltrées, compromettant ainsi la confidentialité et l’intégrité de leurs opérations.

Mesures Préventives et Correctives

Pour se défendre contre ce type d’attaque, il est impératif de maintenir les systèmes à jour en appliquant régulièrement les patches de sécurité publiés par les éditeurs de logiciels.

Une inspection fréquente des fichiers critiques, comme « logon.aspx » pour les serveurs Exchange, permet de détecter toute anomalie.

En outre, l’implémentation de mesures de détection des intrusions et la surveillance des journaux d’accès peuvent aider à identifier des activités suspectes avant qu’elles ne causent des dommages irréparables.

Enfin, la formation continue des équipes IT sur les tactiques d’attaques émergentes et les bonnes pratiques de cybersécurité reste une ligne de défense essentielle.