Microsoft : les exploits de Log4j étendent le minage de crypto au vol pur et simple

Écoutez les DSI, les CTO et d’autres cadres dirigeants et cadres supérieurs sur les stratégies de données et d’IA lors du Sommet sur l’avenir du travail le 12 janvier 2022. Apprendre encore plus


Microsoft a déclaré samedi que les exploits jusqu’à présent de la vulnérabilité critique Apache Log4j, connue sous le nom de Log4Shell, s’étendent au-delà de l’extraction de crypto-monnaie et dans un territoire plus grave, comme le vol d’informations d’identification et de données.

Le géant de la technologie a déclaré que ses équipes de renseignement sur les menaces surveillaient les tentatives d’exploitation de la vulnérabilité d’exécution de code à distance (RCE), révélée jeudi soir. La vulnérabilité affecte Apache Log4j, une bibliothèque de journalisation open source largement déployée dans les services cloud et les logiciels d’entreprise. De nombreuses applications et services écrits en Java sont potentiellement vulnérables.

Des exploits plus sérieux

Les attaques qui prennent le contrôle des machines pour exploiter des crypto-monnaies telles que Bitcoin, également appelées cryptojacking, peuvent entraîner un ralentissement des performances.

En plus de l’extraction de pièces de monnaie, les exploits de Log4j que Microsoft a observés jusqu’à présent incluent des activités telles que le vol d’informations d’identification, les mouvements latéraux et l’exfiltration de données. En plus de fournir certaines des plus grandes plateformes et services cloud utilisés par les entreprises, Microsoft est à part entière un fournisseur majeur de cybersécurité avec 650 000 clients de sécurité.

Dans son article de samedi, Microsoft a déclaré qu'”au moment de la publication, la grande majorité des activités observées sont des analyses, mais des activités d’exploitation et de post-exploitation ont également été observées”.

Plus précisément, « Microsoft a observé des activités telles que l’installation de mineurs de pièces, Cobalt Strike pour permettre le vol d’identifiants et le mouvement latéral, et l’exfiltration de données à partir de systèmes compromis », a déclaré la société.

Microsoft n’a pas fourni plus de détails sur ces attaques. VentureBeat a contacté Microsoft pour obtenir des informations à jour.

Selon un rapport de Netlab 360, les attaquants ont exploité Log4Shell pour déployer des logiciels malveillants, notamment Mirai et Muhstik, deux botnets Linux utilisés pour l’extraction de crypto et les attaques par déni de service distribué (DDoS).

Détection basée sur le comportement

En réponse à la vulnérabilité, Microsoft a déclaré que les équipes de sécurité devraient se concentrer sur plus que la simple prévention des attaques – et également rechercher des indicateurs d’un exploit à l’aide d’une approche de détection basée sur le comportement.

Parce que la vulnérabilité Log4Shell est si vaste et que la mise en œuvre de l’atténuation dans les grands environnements prend du temps, “nous encourageons les défenseurs à rechercher des signes de post-exploitation plutôt que de compter entièrement sur la prévention”, a déclaré la société dans son article. « Les activités post-exploitation observées, telles que l’extraction de pièces de monnaie, les mouvements latéraux et la grève du cobalt, sont détectées avec une détection basée sur le comportement. »

Cobalt Strike est un outil de test de pénétration légitime qui est disponible dans le commerce, mais les cybercriminels ont de plus en plus commencé à utiliser l’outil, selon un récent rapport de Proofpoint. L’utilisation de Cobalt Strike par les acteurs menaçants a augmenté de 161% d’une année sur l’autre en 2020, et l’outil est apparu en 2021 “plus que jamais dans les données de menace Proofpoint”, a déclaré la société.

En ce qui concerne les propres produits de Microsoft susceptibles de présenter des vulnérabilités du fait de l’utilisation de Log4j, la société a déclaré qu’elle enquêtait sur le problème. Dans un article de blog séparé samedi, le Microsoft Security Response Center a écrit que ses équipes de sécurité “ont activement recherché nos produits et services pour comprendre où Apache Log4j peut être utilisé”.

« Si nous déterminons un impact sur le client, nous en informerons la partie concernée », indique le message de Microsoft.

Corriger l’erreur

La vulnérabilité Log4Shell a affecté la version 2.0 à la version 2.14.1 d’Apache Log4j, et il est conseillé aux organisations de mettre à jour vers la version 2.15.0 dès que possible. Les fournisseurs, dont Cisco, VMware et Red Hat, ont donné des conseils sur les produits potentiellement vulnérables.

“Ce qu’il faut garder à l’esprit à propos de cette vulnérabilité, c’est que vous courez un risque sans même le savoir”, a déclaré Roger Koehler, vice-président des opérations sur les menaces chez Huntress, une société de détection et de réponse gérée, dans un e-mail. « De nombreuses entreprises et les outils qu’elles utilisent peuvent inclure le package Log4j fourni, mais cette inclusion n’est pas toujours évidente. En conséquence, de nombreuses entreprises sont à la merci de leurs fournisseurs de logiciels pour corriger et mettre à jour leur logiciel unique en fonction des besoins.

Cependant, les correctifs pour les produits logiciels doivent être développés et déployés par les fournisseurs, et il faut plus de temps aux entreprises pour tester et déployer les correctifs. “Le processus peut prendre un certain temps pour que les entreprises corrigent réellement leurs systèmes”, a déclaré Koehler.

Des solutions de contournement pour les équipes de sécurité ont vu le jour pour aider à atténuer les risques entre-temps.

Solution possible

Un outil, développé par des chercheurs du fournisseur de sécurité Cybereason, désactive la vulnérabilité et permet aux organisations de rester protégées pendant qu’elles mettent à jour leurs serveurs, a déclaré la société.

Après la mise en œuvre, les futures tentatives d’exploitation de la vulnérabilité Log4Shell ne fonctionneront pas, a déclaré Yonatan Striem-Amit, co-fondateur et directeur de la technologie chez Cybereason. La société a décrit le correctif comme un “vaccin” car il fonctionne en tirant parti de la vulnérabilité Log4Shell elle-même. Il est sorti gratuitement vendredi soir.

Pourtant, personne ne devrait considérer l’outil comme une solution “permanente” pour remédier à la vulnérabilité de Log4j, a déclaré Striem-Amit à VentureBeat.

“L’idée n’est pas qu’il s’agisse d’une solution à long terme”, a-t-il déclaré. “L’idée est que vous vous donniez le temps d’appliquer les meilleures pratiques dès maintenant – patchez votre logiciel, déployez une nouvelle version et tout le reste nécessaire pour une bonne hygiène informatique.”

Vulnérabilité généralisée

La vulnérabilité Log4Shell est considérée comme très dangereuse en raison de l’utilisation généralisée de Log4j dans les logiciels et parce que la faille est considérée comme assez facile à exploiter. La faille RCE pourrait éventuellement permettre aux attaquants d’accéder et de contrôler les appareils à distance.

Log4Shell est “probablement le plus important” [vulnerability] dans une décennie” et pourrait éventuellement devenir “le plus important de tous les temps”, a déclaré samedi le PDG de Tenable, Amit Yoran. sur Twitter.

Selon W3Techs, environ 31,5% de tous les sites Web fonctionnent sur des serveurs Apache. La liste des entreprises dotées d’une infrastructure vulnérable comprendrait Apple, Amazon, Twitter et Cloudflare.

“Cette vulnérabilité, largement exploitée par un nombre croissant d’acteurs de la menace, pose un défi urgent aux défenseurs des réseaux étant donné sa large utilisation”, a déclaré Jen Easterly, directrice de l’Agence fédérale de cybersécurité et de sécurité des infrastructures (CISA), dans un communiqué publié samedi. .

VentureBeat

La mission de VentureBeat est d’être une place de la ville numérique pour les décideurs technologiques afin d’en apprendre davantage sur la technologie et les transactions transformatrices. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la conduite de vos organisations. Nous vous invitons à rejoindre notre communauté pour accéder à :

  • des informations à jour sur les sujets qui vous intéressent
  • nos newsletters
  • contenu de leader d’opinion fermé et entrée à prix réduit à nos précieux événements, tels que : Transformer 2021: Apprendre encore plus
  • fonctionnalités réseau et plus

Rejoindre

Leave a Comment