Views
7 months ago

ICTjournal 03/2021

  • Text
  • Selon
  • Outils
  • Applications
  • Technologies
  • Solutions
  • Ainsi
  • Containers
  • Netzmedien
  • Entreprises
  • Suisse

INSCRIVEZ- VOUS

INSCRIVEZ- VOUS MAINTENANT ! Le Digital Economy Award est lancé et recherche les meilleurs de l‘économie numérique. L‘appel à candidatures s‘adresse aux entreprises suisses les plus matures sur le plan numérique et à leurs projets les plus innovants. Nos catégories et nos labels : Digital Innovation Of The Year est à la recherche du projet numérique le plus innovant de Suisse Digital Excellence Award interroge la maturité numérique des entreprises Highest Digital Quality Avec ce label, les entreprises ont la possibilité de prouver leurs qualités dans six disciplines et de les faire certifier. www.digitaleconomyaward.ch Organisateurs: Sponsors: Partenaires Média: Supporting-Partenaire:

sécurité vulnérabilité 13 Des failles dans Exchange causent une vague d’attaques Des pirates ont profité de failles dans les serveurs Exchange pour s’introduire dans les systèmes de milliers d’organisations. Opérateurs de malwares et ransomwares ont ciblé les serveurs et peuvent même avoir installé un accès permanent en dépit des patchs de sécurité. Rodolphe Koller, Yannick Chavanne Plusieurs dizaines de milliers d’organisations, spécialement aux Etats-Unis, en Australie et au Canada, ont subi une vaste attaque ciblant leurs serveurs Exchange. Les pirates ont exploité une vulnérabilité dans les versions de Microsoft Exchange Server 2013, 2016 et 2019. Seules les installations d’Exchange sur site ou hybrides présentaient des failles et Microsoft a publié quatre patches pour y remédier. Selon Microsoft Threat Intelligence Center (MSTIC), le groupe de hackers étatique chinois Hafnium serait l’auteur de l’attaque qui n’est aucunement liée à SolarWinds. Les assauts auraient démarré en janvier déjà, selon le spécialiste Volexity. Depuis la publication des correctifs, de nombreux experts ont constaté une recrudescence des attaques. «Il y a au moins cinq clusters d’activité différents qui semblent exploiter les vulnérabilités», a confié Katie Nickels de Red Canary au site MIT Technology Review. Un spécialiste estime que les hackers ont pris le contrôle de centaines de milliers de serveurs Exchange dans le monde. Kaspersky a en outre constaté une augmentation des attaques en Suisse. Le ransomware DearCry a l’assaut des serveurs vulnérables «On ne sait toujours pas comment la distribution de cette exploitation s’est faite, mais il est inévitable que de plus en plus d’acteurs malveillants, y compris les opérateurs de ransomware, y auront accès tôt ou tard», a averti Eset. Selon les spécialistes de la sécurité IT, les hackers ont ainsi rapidement exploité cette vulnérabilité pour installer des malwares et activer des ransomwares, dont Pydomer mais surtout DearCry (également nommé DoejoCrypt), une fois qu’ils ont pénétré les systèmes. Protégés par un mot de passe, les malwares introduits dans les systèmes vulnérables permettent d’accéder dans la durée à l’environnement de la victime. Ainsi, il ne suffit pas pour les organisations de patcher leurs systèmes, il faut aussi vérifier si un malware n’a pas été installé dans l’intervalle. Pour prévenir les actions de pirates qui auraient profité des failles dans Exchange et conserver leur accès aux serveurs, Microsoft fournit plusieurs conseils aux entreprises, soulignant que la plupart des menaces peuvent être atténuées en appliquant le principe du moindre privilège et en limitant les mouvements latéraux. Web shell lié aux ransomwares Selon Microsoft, pour identifier la présence persistante d’opérateurs de ransomwares qui auraient exploité la faille Exchange, il convient de détecter la présence d’un web shell lié à un ransomware. Ce web shell écrit un fichier batch dans C:Windows\Temp\xx.bat. Il faut savoir que ce fichier peut effectuer une sauvegarde de la base de données SAM (Security Account Manager) et du registre Système et Sécurité. De quoi permettre aux attaquants d’accéder aux mots de passe des utilisateurs locaux du système, mais aussi aux mots de passe des services et des tâches planifiées. C’est pourquoi Microsoft recommande d’opérer selon le principe du moindre privilège. Dangereux canard au citron Les experts en cybersécurité de Microsoft tirent aussi la sonnette d’alarme concernant le botnet Lemon Duck. A l’origine dédié au minage de cryptomonnaie en puisant dans des systèmes infectés, il a déjà profité des récentes failles Exchange en se déclinant en chargeur de logiciels malveillants. Les individus opérant ce botnet utilisent diverses techniques d’obfuscation. Les opérateurs de Lemon Duck sont en outre capables d’effacer toutes traces de web shells injectés par d’autres groupes d’attaquants. Il convient dès lors d’enquêter pleinement sur les systèmes qui ont été exposés. Image: Possessed Photography / Unsplash.com «Il y a au moins cinq clusters d’activité différents qui semblent exploiter les vulnérabilités.» Katie Nickels, analyste en cybersécurité chez Red Canary www.ictjournal.ch © netzmedien ag 03 / 2021