Skip to content
5. Formation
NOS SERVICES

Audit, conseil, licensing, intégration, formation... Découvrez nos services par thématique clé.

CRM

Découvrir HubSpot, la solution CRM complète ou à la carte qui optimise vos processus de développement

CYBERSÉCURITÉ

Mettre en place un plan de reprise d'activité et sécuriser vos données, outils, identités et appareils

GESTION DE PARC

Gérer et sécuriser les appareils de vos utilisateurs sans intervention manuelle du service informatique

GESTION DES IDENTITÉS

Passer à l'hybride ou au full cloud, automatiser vos processus de gestion et sécuriser vos identités

INFRASTRUCTURE CLOUD

Migrer vers le cloud en toute sécurité, centraliser vos données et créer des machines virtuelles

OUTILS COLLABORATIFS

Sécuriser vos outils collaboratifs, migrer vos tenants et découvrir notre sélection de solutions

IMG_4285
NOS LICENCES

Nos experts sélectionnent les meilleures solutions pour votre secteur. Découvrez notre offre de licences par éditeur.

MICROSOFT

Collaboration, gestion IT, sécurité et bien plus encore

HUBSPOT

La solution CRM complète ou à la carte qui optimise vos processus

ADOBE

La référence des outils créatifs, marketing et de gestion

DOCUSIGN

N°1 de la signature électronique et de la conclusion d'accords

LETSIGNIT

La solution de gestion de signatures mail Outlook & Microsoft 365

VEEAM

La solution pour protéger l'ensemble de vos données

15 décembre 20215 minutes

[Établissements d’enseignement] êtes-vous concerné par la vulnérabilité Apache log4j ?

 

Découvrez Comment détecter et protéger votre établissement contre la vulnérabilité Apache log4j 

Le 9 décembre 2021, la vulnérabilité CVE- 2021-44228 a été divulguée publiquement. Elle impacte plusieurs versions de l'outil Apache Log4j.

Exaduo n’utilise pas Log4j dans ses différents développements / applications. Microsoft a précisé le faible impact de cette vulnérabilité pour les services de Microsoft Azure dans le document suivant : https://msrc-blog.microsoft.com/2021/12/11/microsofts-response-to-cve-2021-44228-apache-log4j2/

Cependant pour vous tenir informé, dans cet article nous allons rassembler les informations concernant l’impact, la détection, la actions à réaliser pour la prévention contre Log4shell.

Qu'est-ce que Log4Shell ?

Log4Shell est une vulnérabilité de haute gravité (CVE-2021-44228, CVSSv3 10.0) affectant plusieurs versions de l'utilitaire Apache Log4j. Elle a été divulguée publiquement via le GitHub du projet le 9 décembre 2021. Cette vulnérabilité, découverte par Chen Zhaojun de l'équipe de sécurité d'Alibaba Cloud, affecte les versions 2.0 à 2.14.1 d'Apache Log4j. 

La vulnérabilité permet une exécution de code à distance non authentifiée. Log4j est une bibliothèque de journalisation Java open source développée par la Fondation Apache. Log4j 2 est largement utilisée dans de nombreuses applications et est présente, en tant que dépendance, dans de nombreux services. Il s'agit notamment d'applications d'entreprise ainsi que de nombreux services cloud.

Quelles solutions de sécurité mettre en place pour se protéger contre les attaques et à les détecter ?

 

#1 détecter les vulnérablités : 

 

1)        Microsoft Defender for Endpoint

 

Exaduo encourage ses clients à adopter une stratégie « Zero trust » et à examiner les journaux des applications touchées pour détecter toute activité inhabituelle.

Microsoft defender for Endpoint peut être pour utilisé pour identifier les vulnérabilités sur les postes de travail ainsi que les serveurs

Sur son blog Microsoft précise que les utilisateurs de Microsoft Defender for Endpoint peuvent activer la règle de réduction de la surface d’attaque suivante pour bloquer ou auditer certaines activités observées associées à cette menace.

  • Bloquer l’exécution des fichiers exécutables à moins qu’ils ne répondent à un critère de prévalence, d’âge ou de liste de confiance

En raison de la nature d’exploitation en réseau étendue des vecteurs par lesquels cette vulnérabilité peut être exploitée et du fait que l’application globale des mesures d’atténuation dans de grands environnements prendra du temps, nous encourageons nos clients à rechercher des signes de post-exploitation plutôt que de compter pleinement sur la prévention. Les activités post-exploitation observées telles que l’extraction de pièces de monnaie, le mouvement latéral et cobalt Strike sont détectées avec des détections basées sur le comportement.

Les alertes avec les titres suivants dans le Centre de sécurité peuvent indiquer l’activité de menace liée à l’exploitation de CVE-2021-44228 sur votre réseau. Les alertes qui prennent en charge les plates-formes Windows et Linux sont indiquées ci-dessous :

  • Connexion réseau observée dans l’exploitation CVE-2021-44228 (détecte le trafic réseau se connectant à une adresse associée à l’activité d’analyse ou d’exploitation CVE-2021-44228)
  • Exploitation possible de CVE-2021-44228 (détecte les mineurs de pièces, les obus, les portes dérobées et les charges utiles telles que Cobalt Strike utilisées par les attaquants après l’exploitation)
  • Exploitation possible de Log4j (détecte plusieurs comportements, y compris le lancement de commandes suspectes après l’exploitation)
  • Script suspect lancé

Les alertes portant les titres suivants dans le Centre de sécurité peuvent indiquer l’activité des menaces sur votre réseau, mais ne sont pas nécessairement liées à l’exploitation de CVE-2021-44228. Nous les énumérons ici ainsi que ces alertes comportementales génériques peuvent également se déclencher dans les environnements des clients et il est également fortement recommandé qu’elles soient triées et corrigées immédiatement :

  • Exécution PowerShell à distance suspecte
  • Téléchargement du fichier associé à l’extraction de monnaie numérique
  • Processus associé à l’extraction de monnaie numérique
  • Identification de cobalt Strike
  • Connexion suspecte du trafic réseau au serveur C2
  • Détection d’une activité d’attaquant mains sur clavier en cours (Cobalt Strike)

     

    2)        Microsoft Sentinel 

Les clients Microsoft Sentinel peuvent utiliser les requêtes de détection suivantes pour auditer certaines activités observées associées à cette menace.

Vous retrouvez tous les détails des requêtes sur le blog de Microsoft

#2 Protection contre le log4j

  • Azure Firewall premium

Les clients qui utilisent Azure Firewall Premium bénéficient d’une protection améliorée contre la vulnérabilité et l’exploit Log4j RCE CVE-2021-44228. Azure Firewall premium IDPS (Intrusion Detection and Prevention System) fournit une inspection IDPS pour tout le trafic est-ouest et le trafic sortant vers Internet. Les ensembles de règles de vulnérabilité sont continuellement mis à jour et incluent la vulnérabilité CVE-2021-44228 pour différents scénarios, y compris les protocoles UDP, TCP, HTTP/S depuis le 10 décembre 2021. La capture d’écran ci-dessous montre tous les scénarios qui sont activement atténués par Azure Firewall Premium.

 CVE44228_AzurePremium-61b5833c2031c-2048x1174

Il est recommandé aux clients de configurer Azure Firewall Premium avec le mode IDPS Alert & Deny et l’inspection TLS activés pour une protection proactive contre l’exploit CVE-2021-44228.

 

  •  Pare-feu d’application web Azure (WAF)

 

Une alternative plus abordable à Azure firewall premium, est le Web Azure Firewall qui pour répondre à cette menace a mis à jour les versions 1.0 et 1.1 de l’ensemble de règles par défaut (DRS). Microsoft a mis à jour la règle 944240 « Exécution de commandes à distance » sous Règles gérées pour aider à détecter et à atténuer cette vulnérabilité en inspectant les en-têtes, l’URI et le corps des demandes. Cette règle est déjà activée par défaut en mode bloc pour toutes les configurations WAF Default Rule Set existantes. Les clients utilisant les règles managées WAF auraient déjà reçu une protection améliorée pour la vulnérabilité Log4j2 (CVE-2021-44228), aucune action supplémentaire n’est nécessaire.

 

Il est recommandé aux clients d’activer la stratégie WAF avec l’ensemble de règles par défaut 1.0/1.1 sur leurs déploiements Front Door pour bénéficier immédiatement d’une protection supplémentaire contre cette menace, si elle n’est pas déjà activée. Pour les clients qui ont déjà activé DRS 1.0/1.1, aucune action n’est nécessaire. Nous continuerons de surveiller les modèles de menaces et de modifier la règle ci-dessus en réponse aux modèles d’attaque émergents, au besoin.

 

Exaduo est à votre disposition pour vous accompagner dans le développement de votre stratégie de sécurité ainsi que le choix d’outils et de services de sécurité les plus adaptés à vos objectifs.

 

Notez bien :

Le centre de renseignement sur les menaces de Microsoft (MSTIC) a fourni une liste des IOC liés à cette attaque et la mettra à jour avec de nouveaux indicateurs au fur et à mesure qu'ils seront découverts : https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample Data/Feeds/Log4j_IOC_List.csv

Microsoft continuera à surveiller cette situation dynamique et mettra à jour son blog dès que de nouveaux renseignements sur les menaces et de nouvelles détections/mitigations seront disponibles.

 

ARTICLES LIÉS