Suite à la publication par Microsoft de correctifs hors bande pour remédier à plusieurs failles zero-day dans les versions locales de Microsoft Exchange Server, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a Publié une directive d’urgence avertissant de « exploitation active« des vulnérabilités.

L’alerte fait suite à la divulgation de Microsoft selon laquelle des pirates informatiques basés en Chine exploitaient des bogues logiciels inconnus sur le serveur Exchange pour voler des données sensibles à des cibles sélectionnées, marquant la deuxième fois en quatre mois que les États-Unis se sont démêlés pour répondre à une campagne de piratage répandue. être l’œuvre d’acteurs étrangers.

Alors que la société a principalement attribué la campagne à un groupe de menace appelé HAFNIUM, la société slovaque de cybersécurité ESET mentionné il a trouvé des preuves de l’exploitation active de CVE-2021-26855 dans la nature par plusieurs groupes de cyberespionnage, notamment LuckyMouse, Tick et Calypso, ciblant des serveurs situés aux États-Unis, en Europe, en Asie et au Moyen-Orient.

Les chercheurs de Huntress Labs ont également sonné l’alarme concernant l’exploitation massive des serveurs Exchange, notant que plus de 350 web shells ont été découverts sur environ 2000 serveurs vulnérables.

«Parmi les serveurs vulnérables, nous avons également trouvé plus de 350 web shells – certaines cibles peuvent avoir plus d’un web shell, indiquant potentiellement un déploiement automatisé ou plusieurs acteurs non coordonnés», a déclaré John Hammond, chercheur senior en sécurité chez Huntress. mentionné. «Ces terminaux ont des solutions antivirus ou EDR installées, mais cela a apparemment échappé à la majorité des produits de sécurité préventifs.»

Le dernier développement indique une propagation beaucoup plus large qui s’étend au-delà de l’attaque «limitée et ciblée» rapportée par Microsoft plus tôt cette semaine.

Il n’est pas clair si des agences gouvernementales américaines ont été violées dans la campagne, mais la directive CISA souligne l’urgence de la menace.

Exhortant vivement les organisations à appliquer les correctifs dès que possible, l’agence a cité « la probabilité d’une exploitation généralisée des vulnérabilités après divulgation publique et le risque que les services du gouvernement fédéral au public américain soient dégradés ».