Des chercheurs en sécurité mettent en garde contre l’exploitation par des acteurs malveillants, dans le cadre d’attaques réelles, de failles précédemment non divulguées dans des serveurs Microsoft Exchange entièrement corrigés, afin de permettre l’exécution de codes à distance sur les systèmes concernés.
« Nous avons détecté des webshells, pour la plupart obscurcis, déposés sur des serveurs Exchange », a indiqué l’entreprise.
« En utilisant l’agent utilisateur, nous avons détecté que l’attaquant utilise Antsword, un outil d’administration de site web multiplateforme open source basé en Chine qui prend en charge la gestion du shell web ».
Html Exchange Server, le GTSC notant que les serveurs ciblés avaient déjà été patchés contre les failles révélées en mars 2021.
Il convient de noter que le shell web China Chopper a également été déployé par Hafnium, un groupe soupçonné d’être parrainé par un État et opérant depuis la Chine, lorsque les vulnérabilités de ProxyShell ont fait l’objet d’une exploitation à grande échelle l’année dernière.
« Si vous n’utilisez pas Microsoft Exchange sur site et que vous n’avez pas Outlook Web App face à Internet, vous n’êtes pas concerné », a déclaré M. Beaumont.