ProxyLogon : le FBI fait le ménage

Spread the love
ProxyLogon : le FBI fait le ménage

Le FBI se charge de faire le ménage sur les serveurs Exchange compromis via les failles ProxyLogon. Le ministère américain de la Justice a publié hier un communiqué autorisant les forces de l’ordre fédérales américaines à se connecter aux serveurs Exchange compromis dans les campagnes d’attaques exploitant les failles ProxyLogon et à copier et supprimer les shell web installés par les attaquants.

C’était en effet l’une des menaces évoquées par Microsoft à la découverte de ces failles : un groupe baptisé Hafnium avait exploité les failles ProxyLogon pendant plusieurs semaines avant la diffusion du correctif afin de compromettre des serveurs Exchange vulnérables et installer un shell web sur les appareils visés.

Un shell web est une interface web permettant à un tiers d’exécuter à distance du code malveillant sur une machine. Une fois installé sur la machine, celui-ci permet à un attaquant de conserver un accès à l’appareil, et ce même après l’installation des correctifs de la faille exploitée pour prendre le contrôle du serveur. Si de nombreux administrateurs avaient appliqué les patchs correctifs de Microsoft, l’éditeur avait fait savoir que des attaquants avaient pu profiter de l’arrivée tardive du patch pour installer ce type de programmes sur les appareils compromis et ainsi conserver un accès à des fins malveillantes.

publicité

Couper l’herbe sous le pied des cybercriminels

« L’opération d’aujourd’hui a supprimé les shell web restants installés par l’un des premiers groupes d’attaquants, qui auraient pu être utilisés pour maintenir et élever l’accès non autorisé aux réseaux américains. Le FBI a procédé à la suppression en émettant une commande via le shell Web vers le serveur, conçue pour que le serveur ne supprime que le shell Web (identifié par son chemin de fichier unique) » indique le ministère de la Justice dans son communiqué. Pour y parvenir, les agents du FBI expliquent avoir utilisé des identifiants permettant d’accéder aux shell web malveillants afin d’envoyer une commande provoquant la désinstallation de ceux-ci.

En l’occurrence, l’opération visait à couper les accès déployés par le groupe Hafnium, groupe identifié par Microsoft comme l’un des premiers à avoir exploité les failles ProxyLogon dans le cadre d’une campagne d’attaques ayant eu lieu avant la diffusion des correctifs. Le FBI indique que son action consistait uniquement à copier et à supprimer les shell web installés par le groupe, mais qu’ils n’ont pas cherché à corriger les failles ayant permis l’accès. Le FBI ne précise pas exactement combien d’appareils sont concernés par l’opération, mais indique que l’opération visait uniquement à supprimer les shell web installés par le groupe Hafnium. D’autres groupes cybercriminels ont egalement employé une méthode similaire après la révélation des failles ProxyLogon au grand public. Selon le FBI, le fait de ne pas rendre cette opération publique visait à éviter que les attaquants, informés de l’opération en cours, ne modifient leurs installations pour court-circuiter l’effort du FBI.

Le FBI indique que cette opération a été réalisée sans demander l’autorisation préalable des possesseurs des systèmes concernés, mais que le service de police s’employait maintenant à les informer de l’opération. Les administrateurs concernés seront prévenus directement par une notification email ou par l’intermédiaire de leur fournisseur d’accès.

Quand les forces de l’ordre s’invitent sur vos machines

Ce type d’opération n’est pas courante, mais les forces de l’ordre semblent de plus en plus susceptibles d’interagir directement avec les ordinateurs infectés dans le cadre de la lutte contre le cybercrime. En France, une première opération de ce type avait eu lieu en 2019 avec le démantèlement du botnet Retadup par le C3N : la gendarmerie française avait ainsi pris le contrôle du botnet et envoyé une commande sur les 850 000 machines visant à rendre le logiciel malveillant inopérant. Dans ce cas de figure, les possesseurs des ordinateurs concernés n’avaient pas été prévenus ou avertis.

Plus récemment, on peut également citer le cas du démantèlement du botnet Emotet dans le cadre d’une opération coordonnée par Europol : là aussi, les autorités sont parvenues à prendre le contrôle des serveurs de contrôle du botnet et à diffuser une mise à jour aux ordinateurs infectés par le logiciel malveillant. Selon les analyses de plusieurs experts en sécurité, cette mise à jour prévoit un mécanisme d’autosuppression du logiciel malveillant sur l’ordinateur victime, programmé pour le 25 avril 2021.

Le FBI a donc probablement pris bonne note de ces précédents européens et propose pour la première fois une opération similaire, bien que celle-ci ne vise que des ordinateurs américains. Les opérations de démantèlement d’Emotet et de Retadup affectaient des appareils situés dans plusieurs pays, parfois en dehors des juridictions des services de force de l’ordre concernés. Ces opérations permettent de porter un sérieux coup d’arrêt aux activités cybercriminelles, qui profitent souvent de l’absence de compétences en cybersécurité des administrateurs des machines infectées pour se développer. Dans chacun des cas, les forces de l’ordre assurent avoir testé en amont les commandes envoyées sur les machines, afin de limiter les risques de problèmes techniques causés par la désinfection.

Leave a Reply