Les courriers indésirables sont toujours la principale échappatoire des chevaux de Troie pour infecter les ordinateurs. Le problème est que de tels courriels sont de plus en plus crédibles, et pas seulement pour l’œil humain : Avec un peu de préparation, les criminels envoient actuellement de tels courriels au sein des réseaux d’entreprise afin de contourner le filtrage et les mécanismes de quarantaine.

Selon un rapport des chercheurs en sécurité de Trend Micro, cela se produit actuellement fréquemment via des serveurs Exchange piratés. Pour ce faire, les pirates du groupe Squirrelwaffle identifié par les chercheurs exploitent les failles ProxyLogon et ProxyShell de Microsoft Exchange. Les attaques observées concerneraient actuellement le Proche-Orient. L’ampleur de ces attaques n’est pas connue à l’heure actuelle.

Se faufiler en tant qu’initié

Si les attaques réussissent, les pirates ne doivent pas décharger de logiciels malveillants ni se propager dans les réseaux à partir du serveur piraté (Lateral movement). Avec cette stratégie, ils ne veulent pas fournir aux outils de journalisation un trafic de données suspect qui pourrait attirer l’attention des administrateurs. Au contraire, ils doivent en quelque sorte abuser de manière cachée du logiciel du serveur de transport d’e-mails pour envoyer des spams en interne.

Selon les chercheurs, l’envoi interne augmente la probabilité que les filtres et les règles de quarantaine mis en place pour des raisons de sécurité ne fonctionnent pas. En outre, les messages provenant d’un contact interne supposé fiable ont l’air plus crédibles.

En outre, les pirates devraient se rattacher dans les courriels à des projets existants afin d’accroître encore la crédibilité. En combinaison avec l’envoi interne, des courriels avec une pièce jointe dangereuse pourraient ainsi parvenir à la victime et l’inciter à ouvrir par exemple un document Excel préparé avec des macros et à introduire ainsi un code malveillant sur l’ordinateur.

Correctifs de sécurité disponibles depuis le printemps

Pour empêcher l’envoi interne d’e-mails au moyen de serveurs Exchange piratés, les administrateurs doivent s’assurer que leurs systèmes sont à jour. Des correctifs de sécurité sont disponibles depuis mars (ProxyLogon) et avril 2021 (ProxyShell).

La semaine dernière encore, l’équipe d’urgence de l’Office fédéral de la sécurité des technologies de l’information (BSI) a averti CERT-Bund que des milliers de serveurs Exchange potentiellement vulnérables et accessibles au public étaient encore en service en Allemagne.