Alertes sécurités de septembre 2021 : la réponse des produits Stormshield

Protection face aux vulnérabilités, failles et CVE de septembre 2021 | Stormshield

Les vulnérabilités s’enchaînent en cette fin du mois de septembre : CVE-2021-22005, faille dans Microsoft Exchange ou encore nouvelle version du malware StealBit. Le point sur les protections Stormshield.

 

CVE-2021-22005 : une vulnérabilité dans la télémétrie VMware

Cette vulnérabilité concerne la télémétrie des systèmes VCenter VShpere (v7.0 et v6.7) et permet à un attaquant d’uploader des fichiers arbitraires sur le serveur, à l’emplacement de son choix. Il peut ainsi exploiter le système Linux cible pour exécuter du code malveillant.

Stormshield vous protège de l’exploitation de cette CVE-2021-22005 (CVSS 9.8) sur les systèmes VMware et VCenter avec la signature SNS http:client:header.216. Celle-ci nécessite l’activation du proxy SSL.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

 

Malware StealBit : une variante à surveiller

Le malware StealBit est un outil de la famille des « strealers » développé par le groupe LockBit et utilisé pour exfiltrer les données de leurs victimes vers les serveurs C2 des cyber-criminels. Il est démarré après la phase d’exploitation d’une vulnérabilité. Afin de camoufler en apparence son activité, et pour éviter d’être détecté par les solutions de sécurité à base de signatures, les variantes 2.0 étudiées de cet outil utilisent une technique d’appel de DLL non standard afin de charger la librairie réseau.

La solution Stormshield Endpoint Security Evolution permet de détecter et de bloquer l’exécution de ce malware dès son démarrage, avant qu’il n’ait pu causer le moindre préjudice. Une protection effective depuis SES Evolution 2.1.0 au travers de la politique de sécurité fournie par défaut.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

 

Faille Microsoft Exchange : une mauvaise implémentation critique

Le service Autodiscover, présent sur Microsoft Exchange, est utilisé pour connecter automatiquement un nouveau client mail à un serveur Exchange, en lui envoyant les credentials utilisateurs via une URL spécifique de type autodiscover.example[.]com. S’il n’y parvient pas, il réitère sa tentative en tronquant le sous-domaine central, l’URL devient alors autodiscover[.]com. Mais ce dernier peut s’avérer être un domaine public acheté à des fins malveillantes, qui pourra alors recevoir les credentials d’utilisateurs de la messagerie en question.

Stormshield vous protège de la fuite de données liée à la mauvaise implémentation du service Microsoft Exchange Autodiscover avec les signatures SNS http:client:header.215 (elle nécessite également l’activation du proxy SSL) et ssl:client:sni.27 (qui ne nécessite pas le proxy SSL).

Il est également possible de configurer le filtrage d’URL du SNS pour qu’il bloque les domaines autodiscover.* :

  1. Créez un objet autodiscover avec l’extension de votre domaine (fr, eu…)
  2. Ajoutez cet objet à la politique de filtrage d’URL
  3. Activez la politique dans le filtrage http (et https via le proxy)

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Besoin de récupérer les règles SES ? Une question plus technique sur le sujet ? Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».

À propos de l'auteur

mm
Sébastien Viou
Directeur Cybersécurité Produits & Cyber-Évangeliste, Stormshield

Adepte des sports de combats (ju-jitsu, kick-boxing, hockey sur glace), Sébastien se passionne également pour la mécanique. La vraie, celle où on démonte et remonte toutes les pièces jusqu'à en comprendre tous les mécanismes. Un parallèle évident avec ses missions chez Stormshield, où il est en charge d'apporter un éclairage sur les évolutions, les innovations et les tendances sur les cyber-menaces du moment.