Un opérateur de ransomware basé en Chine exploite activement depuis la semaine dernière la vulnérabilité Log4j dans VMware Horizon, la plate-forme de virtualisation des postes de travail et des applications, a averti Microsoft.

« Sur la base de notre analyse, les attaquants utilisent des serveurs de commande et de contrôle (CnC) qui usurpent des domaines légitimes », a déclaré le géant du logiciel dans un ajout du 10 janvier à son roulement des mises à jour ‘Log4Shell’.

Lorsqu’elles réussissent, les attaques – qui ont commencé « dès le 4 janvier » – entraînent le déploiement du rançongiciel NightSky.

NightSky exploite le modèle en vogue de «double extorsion» et a été identifié par des chercheurs sur les menaces de MalwareHunterTeam le 1er janvier.

Microsoft a déclaré que le groupe de rançongiciels qui dirige les attaques Horizon, qu’il suit sous le nom de « DEV-0401 », a déjà déployé les rançongiciels LockFile, AtomSilo et Rook, ainsi qu’exploité CVE-2021-26084 dans Atlassian Confluence et CVE-2021-34473. dans les serveurs Exchange locaux.

Avertissement du NHS

La dernière alerte de sécurité Log4j de Microsoft intervient après que le National Health Service (NHS) du Royaume-Uni a également averti qu’un groupe de menaces inconnu tentait de prendre pied sur les réseaux via des attaques contre les déploiements de VMware Horizon exécutant des versions vulnérables de Log4j, une bibliothèque de journalisation Java open source.

Dans une « sévérité moyenne » cyber-alerte publié le 5 janvier, la branche numérique du système de santé, NHS Digital, a déclaré que l’attaque « utilise le protocole LDAP (Lightweight Directory Access Protocol) pour récupérer et exécuter un fichier de classe Java malveillant qui injecte un shell Web dans le service VM Blast Secure Gateway ». en vue de déployer un rançongiciel ou d’exfiltrer des données.

Dans un conseil en sécurité Dernière mise à jour le 23 décembre, VMWare a déclaré que le composant HTML Access d’Horizon était vulnérable aux exploits Log4Shell et a fourni des étapes de correction et d’atténuation.

Surface d’attaque tentaculaire

La faille Log4Shell, qui a a engendré quatre patchs dans Log4j jusqu’à présent, permet aux cybercriminels de lancer des attaques d’exécution de code à distance (RCE) contre des systèmes vulnérables.

La surface d’attaque est si vaste que la plate-forme de bug bounty HackerOne avait reçu près de 1 700 rapports de vulnérabilité Log4j à plus de 400 programmes moins de deux semaines après la divulgation publique du bogue.

CONSEILLÉ Plates-formes de primes de bogues gérant des milliers de rapports de vulnérabilité Log4j

Microsoft a déjà documenté des attaques de ransomware sur les serveurs Minecraft via Log4Shell et des courtiers d’accès compromettant les réseaux avant de vendre l’accès aux affiliés ransomware-as-a-service.

« Nous avons observé de nombreux attaquants existants ajouter des exploits de ces vulnérabilités dans leurs kits et tactiques de logiciels malveillants existants, des mineurs de pièces aux attaques manuelles au clavier », a déclaré Microsoft. « Les organisations peuvent ne pas se rendre compte que leurs environnements peuvent déjà être compromis.

Microsoft recommande aux clients d’examiner les appareils sur lesquels des installations vulnérables sont découvertes et de « supposer qu’une large disponibilité du code d’exploitation et des capacités d’analyse constitue un danger réel et actuel pour leur environnement.

« En raison des nombreux logiciels et services qui sont impactés et compte tenu du rythme des mises à jour, cela devrait avoir une longue queue pour la correction, nécessitant une vigilance continue et durable. »