La majorité des expositions de Microsoft Exchange Server se sont produites dans le cloud

  • FrançaisFrançais



  • Une signalisation de Microsoft est vue à New York. (Photo par Jeenah Moon / Getty Images)

    Les chercheurs ont signalé cette semaine que lors de l’étude des serveurs Microsoft Exchange vulnérables. quelque 79% des expositions observées ont eu lieu dans le nuage.

    Un article de blog de l’équipe de recherche Cortex Expanse de Palo Alto Networks a également déclaré que la plupart des scans de l’adversaire qu’ils ont observés entre janvier et mars ont commencé 15 à 60 minutes après leur divulgation via la liste des vulnérabilités et expositions communes (CVE). Mais les chercheurs ont déclaré que le 2 mars, les acteurs de la menace ont commencé à rechercher des systèmes Exchange Server vulnérables dans les cinq minutes qui ont suivi la divulgation par Microsoft de plusieurs jours zéro.

    «Le cloud est intrinsèquement connecté à Internet et il est étonnamment facile pour les nouveaux déploiements de cloud accessibles au public de démarrer en dehors des processus informatiques normaux, ce qui signifie qu’ils utilisent souvent des paramètres de sécurité par défaut insuffisants et peuvent même être oubliés», ont déclaré les chercheurs.

    Le grand nombre de serveurs Exchange impactés déployés dans le cloud n’a pas surpris, Jeff Barker, vice-président de la gestion des produits chez Illusive. Barker a déclaré que l’analyse médico-légale de l’attaque d’Exchange par Hafnium a montré que l’attaquant avait utilisé Procdump pour vider la mémoire LSASS (Local Security Authority Subsystem Service) pour ensuite utiliser Mimikatz pour obtenir des informations d’identification.

    «Cela prouve suffisamment que les tactiques post-exploitation incluent un mouvement latéral vers d’autres parties de l’environnement», a déclaré Barker. «Par conséquent, les entreprises doivent être préoccupées par les risques permanents pour les environnements cloud et sur site.»

    Tyler Shields, directeur du marketing chez JupiterOne, a déclaré que les technologies traditionnelles de base de données de gestion de configuration (CMDB) n’ont pas franchi le pas vers le cloud natif et ne peuvent pas correctement collecter et détecter en permanence les changements dans ces instances d’infrastructure. De plus, la vitesse à laquelle les entreprises sont passées au cloud a fait exploser la croissance des actifs cloud natifs.

    «Si vous ne comprenez pas bien votre infrastructure de cyber-actifs et comment ces composants d’infrastructure sont tous interreliés, il sera impossible de sécuriser cet environnement», a déclaré Shields. «Ceci est démontré par les recherches effectuées chez Expanse.»

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *