Qu’est-ce qui vient juste de se passer? Quatre exploits découverts dans le logiciel Microsoft Exchange Server ont conduit quelque 30 000 organisations gouvernementales et commerciales américaines – y compris des services de police, des hôpitaux et des organisations à but non lucratif – à pirater leurs e-mails. Microsoft a déployé un correctif pour corriger quatre exploits zero-day dans Exchange Server il y a quelques jours, mais cela n’a pas empêché un groupe de piratage de tirer parti de la situation.
Selon Microsoft, les vulnérabilités d’Exchange Server sont ciblées par un groupe de piratage chinois jusqu’alors inconnu connu sous le nom de «Hafnium». Dans les jours qui ont suivi la publication du correctif pour Exchange par Microsoft, le groupe aurait considérablement doublé ses efforts, ciblant les serveurs non corrigés dans le monde et accédant aux comptes de quelque 30 000 organisations américaines. On dit que cela inclut les gouvernements locaux, les banques et les unités de crédit, ainsi que les services de police, les hôpitaux et les organisations à but non lucratif.
Krebs sur la sécurité explique, «Dans chaque incident, les intrus ont laissé derrière eux un« shell Web », un outil de piratage facile à utiliser et protégé par mot de passe, accessible sur Internet à partir de n’importe quel navigateur. Le shell Web donne aux attaquants un accès administratif aux serveurs informatiques de la victime. »
Bien que les attaques aient explosé ces derniers jours, le groupe aurait profité des vulnérabilités depuis début janvier. En fait, les premières attaques ciblaient discrètement les utilisateurs le 6 janvier 2021 – un jour où tous les yeux étaient braqués sur le Capitole américain.
Réflexions sur le hack Hafnium Exchange: (1) il aura un impact disproportionné sur ceux qui peuvent le moins se le permettre (PME, Edu, États, locaux), (2) les équipes de réponse aux incidents sont BRÛLÉES et c’est à un très mauvais moment, ( 3) peu d’organisations devraient exécuter des serveurs d’échange de nos jours. https://t.co/bc5yutThve
– Chris Krebs (@C_C_Krebs) 6 mars 2021
Microsoft explique que les serveurs auto-hébergés exécutant Exchange Server 2013, 2016 ou 2019 sont à risque et doivent télécharger son correctif de sécurité de toute urgence. Si votre organisation utilise Exchange Online, elle ne sera pas affectée.
