Une nouvelle brèche difficile à identifier donne aux pirates informatiques un accès permanent aux serveurs Exchange piratés.
Les pirates qui s’introduisent dans un serveur Microsoft Exchange utilisent une nouvelle porte dérobée qui leur donne un accès permanent. Les chercheurs en sécurité de Kaspersky ont découvert ce phénomène et ont nommé la porte dérobée SessionManager. Le malware se déguise en module légitime pour les Internet Information Services, un serveur web largement utilisé et installé par défaut sur les serveurs Exchange.
Innocent à première vue
Session Manager ressemble à un composant normal sur les serveurs, mais donne aux attaquants un accès à distance. Ils peuvent envoyer des requêtes HTTP d’apparence innocente au malware, qui traduit ensuite les requêtes en code malveillant. En pratique, cela donne aux attaquants un contrôle total sur le serveur. Cependant, les instructions de commande et de contrôle ne sont pas facilement reconnaissables.
SessionManager fait lui-même partie d’une attaque plus vaste, où les pirates doivent d’abord exploiter une autre vulnérabilité pour s’introduire dans un serveur. En pratique, ils utilisent ProxyLogon à cette fin, même si rien n’empêchera les attaquants de combiner éventuellement SessionManager avec d’autres attaques.
Abus délibéré
Selon les chercheurs, l’abus est encore modeste pour le moment. Ils ont découvert 34 serveurs de 24 organisations qui avaient été infectés depuis mars 2021. SessionManager est principalement utilisé contre des ONG, des gouvernements, des organisations militaires et industrielles dans la région EMOA, en Asie et également en Russie.
La suppression de SessionManager n’est pas facile. Kasperksy recommande de faire appel à une aide extérieure et suggère au moins d’arrêter le serveur IIS et de déconnecter Moss des réseaux fédérateurs.