Au mois d’août, le nombre d’utilisateurs attaqués par des exploits ciblant des vulnérabilités inhérentes aux serveurs Microsoft Exchange et bloqués par les solutions Kaspersky a augmenté de 170 % en passant de 7 342 à 19 839. La France fait partie du top 10 des pays ciblés avec 845 utilisateurs uniques attaqués par de tels exploits en août.
The post Les tentatives d’attaque sur Microsoft Exchange ont augmenté de 170 % en août 2021 first appeared on UnderNews.
D'après les informations publiées sur le site CERT-FR, des entités françaises sont visées dans le cadre d'attaques qui s'appuient sur l'exploitation des vulnérabilités ProxyShell, présentent sur les serveurs de messagerie Microsoft Exchange. Dans le même esprit, j'ai décidé d'en remettre une couche pour vous avertir !
Bien qu'elles soient connues depuis plusieurs mois et que Microsoft a déjà publié des correctifs, il semblerait qu'il y ait encore des serveurs Exchange vulnérables aux failles de sécurité ProxyShell. Des campagnes d'attaques sont en cours, en France et ailleurs, notamment dans le but d'exécuter le ransomware LockFile sur les serveurs de la victime.
Derrière le nom ProxyShell se cache trois vulnérabilités :
Des travaux récents ont permis de déterminer que l'exploitation en chaîne de ces trois failles de sécurité permet de prendre le contrôle d'un serveur Exchange à distance.
La réponse est "oui" ! Et, c'est tant mieux ! En mai dernier, Microsoft a corrigé la faille de sécurité CVE-2021-31207, tandis que les deux autres ont eu le droit à un correctif en juillet. À ce jour, il est possible de protéger complètement son serveur Exchange contre les vulnérabilités ProxyShell. Pour cela, il faut prendre le temps de passer les mises à jour.
Des correctifs sont disponibles pour les versions suivantes d'Exchange :
Si vous utilisez un serveur Exchange et qu'il est accessible depuis Internet, il est fortement recommandé de le mettre à jour sans plus attendre !
Difficile de répondre à cette question, mais vous pouvez déjà regarder si votre serveur Exchange a été scanné. S'il a été scanné avant d'être patché, dans ce cas menez vos investigations un peu plus loin.
Pour vérifier s'il a été scanné, je vais relayer les conseils publiés sur le site CERT-FR : "Le chercheur en sécurité Kevin Beaumont a conseillé de vérifier la présence des motifs « /autodiscover/autodiscover.json » et « /mapi/nspi/ » dans les journaux pour identifier si le serveur a fait l’objet d’une reconnaissance."
À vous de jouer et n'hésitez pas à partager un maximum pour faire circuler l'info !
The post Microsoft Exchange et ProxyShell : des attaques sont en cours, en France first appeared on IT-Connect.En ce moment, un nouveau ransomware avec le nom de LockFile se montre particulièrement actif ! Pour faire des victimes, il s'appuie sur l'exploitation de failles connues : les vulnérabilités ProxyShell qui affectent les serveurs Exchange et la faille PetitPotam qui affecte les autorités de certification Active Directory.
Même si elles sont corrigées depuis plusieurs mois, certains serveurs de messagerie Exchange ne sont pas protégés contre les failles ProxyShell. Les hackers en profitent pour compromettre des serveurs Exchange à distance en injectant un webshell, le tout sans être authentifié, dans le but de prendre le contrôle du domaine Active Directory et de chiffrer les serveurs avec LockFile.
Voici les trois vulnérabilités ProxyShell :
- CVE-2021-34473 - corrigée en avril avec la mise à jour KB5001779
- CVE-2021-34523 - corrigée en avril avec la mise à jour KB5001779
- CVE-2021-31207 - corrigée en mai avec la mise à jour KB5003435
Lorsque l'attaquant a pris le contrôle du serveur Exchange, il va chercher à exploiter la vulnérabilité PetitPotam pour prendre le contrôle du domaine Active Directory.
Quant au ransomware LockFile, il a été détecté pour la première fois en juillet. Lorsqu'une entreprise en fait les frais, les fichiers sont chiffrés avec l'extension ".lockfile" et le ransomware laisse une note sur le serveur avec un fichier nommé "<nom de la victime>-LOCKFILE-README.hta". Ce fichier affiche une page qui donne des instructions et invite la victime à rentrer en contact avec le hacker pour négocier la rançon. Il s'avère que la mise en forme de cette page est très proche de celle du ransomware LockBit, mais difficile de dire s'il y a réellement un lien entre les deux.
Pour le moment, LockFile semble s'attaquer à des entreprises basées aux États-Unis et en Asie, mais il n'est pas à exclure qu'il s'attaque à l'Europe : il est donc préférable d'anticiper et de patcher vos serveurs. Comme on dit, mieux vaut prévenir que guérir.
Vous pouvez exporter vers un format PST à partir d’un serveur Exchange à l’aide de la commande PowerShell Exchange Management Shell (EMS) New-MailboxExportRequest ou via le Centre d’administration Exchange (EAC). Cependant, ces méthodes présentent certaines limites, telles que : Avec PowerShell et Exchange Admin Center, vous ne pouvez exporter qu’une seule boîte à la fois. […]
The post Stellar Converter EDB pour convertir les fichiers Exchange EDB en PST first appeared on UnderNews.The automatic or out-of-office "OOF" reply (also called "out-of-office assistant") has been available in Exchange for a long time and is one of the most important features for end users. If they can't set up their automatic replies themselves, the admin can use ECP and PowerShell to do so.
The post Configure automatic reply message in Exchange with PowerShell or ECP first appeared on 4sysops.Each Exchange mailbox can be assigned multiple email addresses. These proxy addresses are also called aliases. Until now, you could use them to receive messages, but to send emails, you had to use the standard address. Now Microsoft 365 also allows you to send email via an alias.
The post Send emails in Exchange Online using an alias address: Configuration with PowerShell and admin center first appeared on 4sysops.
FreshRSS 