Microsoft conseille vivement à ses clients de mettre à jour leurs serveurs Exchange et de prendre des mesures pour renforcer l’environnement, comme l’activation de Windows Extended Protection et la configuration de la signature par certificat des charges utiles de sérialisation PowerShell.
«Les attaquants qui cherchent à exploiter des serveurs Exchange non corrigés ne vont pas disparaître», a déclaré l’équipe Exchange du géant technologique dans un message.
Microsoft a également souligné que les mesures d’atténuation publiées par l’entreprise ne sont qu’une solution provisoire et qu’elles peuvent «devenir insuffisantes pour protéger contre toutes les variantes d’une attaque», ce qui oblige les utilisateurs à installer les mises à jour de sécurité nécessaires pour sécuriser les serveurs.
Une autre raison est le fait que plusieurs services dorsaux s’exécutent en tant qu’Exchange Server lui-même, qui dispose des privilèges SYSTEM, et que les exploits pourraient accorder à l’attaquant un accès malveillant au service PowerShell distant, ouvrant ainsi la voie à l’exécution de commandes malveillantes.
Dans certains cas, les serveurs de transit utilisés pour héberger les charges utiles ont été compromis par les serveurs Microsoft Exchange eux-mêmes, ce qui laisse supposer que la même technique a pu être appliquée pour étendre l’ampleur des attaques.
L’utilisation abusive des vulnérabilités de Microsoft Exchange a également été une tactique récurrente employée par UNC2596, les opérateurs du ransomware Cuba, avec une attaque exploitant la séquence d’exploitation ProxyNotShell pour déposer le téléchargeur BUGHATCH.