Les cybercriminels ont recherché des serveurs Microsoft Exchange vulnérables dans les cinq minutes suivant la publication des informations

Les recherches suggèrent que la location bon marché de services cloud a permis aux cyberattaquants de choisir rapidement des cibles.

Les cybercriminels ont commencé à rechercher sur le Web des serveurs Exchange vulnérables dans les cinq minutes suivant la publication de l’avis de sécurité de Microsoft, selon les chercheurs

Selon un examen des données sur les menaces des entreprises collectées entre janvier et mars de cette année, compilées dans le rapport sur les menaces Cortex Xpanse Attack Surface 2021 de Palo Alto Networks et publié mercredi, les acteurs de la menace ont rapidement recherché des serveurs. mûr pour l’exploiter.  

Lorsque des vulnérabilités critiques dans des logiciels largement adoptés sont rendues publiques, cela peut déclencher une course entre les attaquants et les administrateurs informatiques: une pour trouver des cibles appropriées – en particulier lorsqu’un code de preuve de concept (PoC) est disponible ou qu’un bogue est facile à exploiter – et le personnel informatique pour effectuer des évaluations des risques et mettre en œuvre les correctifs nécessaires. 

Le rapport indique qu’en particulier, les vulnérabilités zero-day peuvent provoquer des analyses des attaquants dans les 15 minutes suivant la divulgation publique. 

Les chercheurs de Palo Alto affirment que les attaquants «travaillaient plus vite» en ce qui concerne Microsoft Exchange, cependant, et les scans ont été détectés en moins de cinq minutes. 

Le 2 mars, Microsoft a révélé l’existence de quatre vulnérabilités zero-day dans Exchange Server. Les quatre problèmes de sécurité, qui ont un impact collectif sur Exchange Server 2013, 2016 et 2019, ont été exploités par le groupe chinois de menaces persistantes avancées (APT) Hafnium – et d’ autres APT , notamment LuckyMouse, Tick et Winnti Group, ont rapidement emboîté le pas. .

La divulgation de sécurité a déclenché une vague d’attaques, et trois semaines plus tard, elles étaient toujours en cours. À l’époque , les chercheurs de F-Secure ont déclaré que les serveurs vulnérables «étaient piratés plus rapidement que nous ne pouvons compter».

Lisez la suite: Tout ce que vous devez savoir sur le piratage de Microsoft Exchange Server

Il est possible que la disponibilité générale de services cloud bon marché ait aidé non seulement les APT, mais aussi les plus petits groupes et individus de cybercriminels à tirer parti des nouvelles vulnérabilités à mesure qu’elles apparaissent.

« L’informatique est devenue si peu coûteuse qu’un attaquant potentiel n’a besoin que de dépenser environ 10 $ pour louer une puissance de cloud computing afin de faire une analyse imprécise de l’ensemble d’Internet pour les systèmes vulnérables », indique le rapport. « Nous savons par la vague d’attaques réussies que les adversaires gagnent régulièrement des courses pour corriger de nouvelles vulnérabilités. »

L’étude met également en évidence le protocole RDP (Remote Desktop Protocol) comme la cause la plus courante de faiblesse de la sécurité dans les réseaux d’entreprise, représentant 32% des problèmes de sécurité globaux, un domaine particulièrement problématique car de nombreuses entreprises sont passées rapidement au cloud au cours de l’année écoulée. pour permettre à leurs employés de travailler à distance. 

«C’est troublant car RDP peut fournir un accès administrateur direct aux serveurs, ce qui en fait l’une des passerelles les plus courantes pour les attaques de ransomwares», note le rapport. «Ils représentent des fruits faciles à manipuler pour les attaquants, mais il y a lieu d’être optimiste: la plupart des vulnérabilités que nous avons découvertes peuvent être facilement corrigées. »