Vulnérabilités Microsoft Exchange

Barracuda détecte une augmentation de la détection des vulnérabilités Microsoft Exchange

Version imprimable, PDF et e-mail

Le 2 mars 2021, Microsoft a publié un correctif hors bande concernant plusieurs vulnérabilités de type zero-day affectant Exchange Server : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065.

CVE-2021-26855 est une vulnérabilité côté serveur de type SSRF affectant Exchange, qui permet au pirate d'envoyer des requêtes HTTP arbitraires et de s'authentifier en tant que serveur Exchange. D'après les informations diffusées publiquement, l'entrée CVE-2021-26855 est exploitée par les hackers pour identifier les systèmes vulnérables. Elle peut être utilisée conjointement avec d'autres vulnérabilités dans le but d'obtenir un accès et d'effectuer d'autres opérations, notamment le déploiement de Web Shells dans les systèmes piratés.

Les chercheurs de Barracuda ont détecté une augmentation du nombre de CVE-2021-26855 dans nos capteurs et déploiements dans le monde entier depuis le début du mois. Le nombre de ces attaques a commencé a diminué le 1er mars, et le trafic n'a eu de cesse d'augmenter depuis.

L'équipe de recherche sur les menaces de Barracuda s'est rapidement mobilisée pour mettre au point une solution permettant de bloquer cette attaque sur Barracuda WAF et Barracuda WAF-as-a-Service.

Vulnérabilités Microsoft Exchange

URL et UserAgents les plus populaires

En analysant les données de plus près, nos chercheurs ont constaté que ces attaques correspondaient à des tentatives de reconnaissance. Beaucoup d'entre elles visaient des systèmes n'utilisant pas Exchange en back‑end. L'équipe de Microsoft et un certain nombre d'entreprises ont publié une liste d'URL ciblées par ces pirates, et les résultats établis par nos capteurs sont similaires. Voici les cinq URL les plus ciblées :

  • /owa/auth/x.js
  • /ecp/y.js
  • /ecp/program.js
  • /ecp/x.js
  • //ecp/x.js

URL Microsoft Exchange ciblées

La plupart de ces attaques semblent utiliser les cookies X-AnonResource-Backend et X-BEResource se terminant par le paramètre "?~3" qui a été répertorié dans le script d'analyse de vulnérabilités de Microsoft.

Si l'on se penche sur les UserAgents que ces outils d'analyse utilisent, les trois principaux sont :

  • ExchangeServicesClient
  • python-requests
  • nmap

Les chercheurs de Barracuda n'ont constaté aucun écart majeur par rapport à ce que d'autres acteurs du domaine ont pu signaler, mais ils remarquent également qu'un grand nombre de scanners utilisent des en-têtes de navigateur standard.

Vulnérabilités Microsoft Exchange

Augmentation des analyses ciblant d'autres vulnérabilités

La saison a été marquée par des vulnérabilités très médiatisées, dont Solarwinds, VMware et Microsoft sont les dernières victimes. Le 24 février 2021, VMware a publié un avis concernant les vulnérabilités CVE-2021- 21972 et CVE-2021-21973. En considérant l'ensemble de ces vulnérabilités, les chercheurs de Barracuda ont constaté une augmentation constante du nombre d'analyses ciblant ces vulnérabilités depuis le 24 février.

analyses des vulnérabilités

Protection contre les tentatives d'exploitation des vulnérabilités d'Exchange

Barracuda WAF et Barracuda WAF-as-a-Service peuvent être configurés pour bloquer toute tentative d'analyse et d'exploitation des vulnérabilités Exchange et VMware. Si vous disposez déjà de Barracuda WAF ou WAF-as-a-Service, veuillez contacter notre équipe d'assistance pour effectuer et valider cette configuration.

Nous pensons pour le moment que les pirates continueront à rechercher et à exploiter ces vulnérabilités à un rythme soutenu pendant quelques semaines encore, avant que les analyses ne se stabilisent et diminuent.

En ce qui concerne les vulnérabilités Exchange, nous estimons que la première chose à faire est d'effectuer les mises à jour et d'appliquer les corrections préconisées par Microsoft dans cet article. Les solutions Barracuda peuvent également apporter un haut niveau de sécurité à vos déploiements d'applications.

Barracuda CloudGen Access propose un accès réseau zero trust (ZTNA), ajoutant ainsi une fonction de contrôle des accès à vos applications. Barracuda CAP assure la sécurité de vos applications, où qu'elles se trouvent, contre tout type d'attaque, y compris les attaques DDoS. Son moteur de signatures intelligentes performant et ses fonctionnalités de sécurité vous offrent une protection proactive contre les 10 principales attaques de l'OWASP et les attaques de type zero-day. Vous disposez ainsi d'un temps précieux que vous pouvez consacrer à la protection de vos applications tout en appliquant vos correctifs.

L'équipe de recherche de Barracuda partagera bientôt davantage d'informations sur ces vulnérabilités et la manière de se protéger contre les attaques tentant d'en tirer parti.

Essai gratuit : protégez vos applications avec une plateforme simple.

Remonter en haut de page
Tweeter
Partager
Partager