Les cybercriminels s’empressent d’exploiter quatre bugs zero-day dans Exchange avant que d’autres organisations ne puissent les corriger.
Les organisations qui exécutent Microsoft Exchange Server sont invitées à appliquer plusieurs corrections de bugs au programme en réponse à un piratage d’un groupe de cybercriminels chinois. L’attaque a suscité l’inquiétude de tous, des experts en sécurité à la Maison Blanche.
Au début de la semaine dernière, Microsoft a révélé qu’un groupe basé en Chine appelé Hafnium avait lancé des cyberattaques contre des organisations en exploitant quatre vulnérabilités zero-day dans les versions sur site de son logiciel Exchange Server. Les attaques sont menées en trois étapes, selon Microsoft.
Premièrement, le groupe peut accéder à un serveur Exchange en utilisant des informations d’identification de compte volées ou en utilisant les vulnérabilités pour se faire passer pour quelqu’un qui devrait y avoir accès. Deuxièmement, le groupe est capable de contrôler à distance le serveur compromis en créant un shell Web, un morceau de code malveillant qui donne aux attaquants un accès administratif à distance. Troisièmement, le groupe utilise l’accès à distance pour voler des données sur le réseau d’une organisation.
L’objectif principal d’Hafnium est d’exfiltrer les informations d’organisations de différents secteurs, telles que les chercheurs en maladies infectieuses, les cabinets d’avocats, les établissements d’enseignement supérieur, les entrepreneurs de la défense, les groupes de réflexion sur les politiques et les organisations non gouvernementales. Bien que Hafnium soit situé en Chine, le groupe exécute ses opérations malveillantes principalement via des serveurs privés virtuels loués aux États-Unis, a déclaré Microsoft.
En réponse au piratage, Microsoft a publié plusieurs mises à jour de sécurité pour Exchange Server afin d’atténuer les vulnérabilités du jour zéro. Notant que les failles affectent Exchange Server 2013, 2016 et 2019, Microsoft a exhorté toutes les organisations disposant de ces versions à corriger leurs serveurs dès que possible, en accordant la priorité aux serveurs faisant face à l’extérieur.
«Nous encourageons vivement tous les clients Exchange Server à appliquer ces mises à jour immédiatement», a déclaré Microsoft dans un article de blog. « Exchange Server est principalement utilisé par les clients professionnels et nous n’avons aucune preuve que les activités de Hafnium ciblaient des consommateurs individuels ou que ces exploits aient un impact sur d’autres produits Microsoft. Même si nous avons travaillé rapidement pour déployer une mise à jour pour les exploits de Hafnium, nous savons que de nombreux Les acteurs des États-nations et les groupes criminels agiront rapidement pour tirer parti de tous les systèmes non corrigés. L’application rapide des correctifs d’aujourd’hui est la meilleure protection contre cette attaque. »
Les organisations concernées semblent également héberger leurs propres installations internes du service Outlook sur le Web (OWA) de Microsoft au lieu d’utiliser la version cloud, selon Reuters. Appelant ce piratage Microsoft Exchange / OWA une attaque assez élaborée, Michael Isbitski, évangéliste technique chez Salt Security, a déclaré à Netcost-Security qu’il soupçonnait que cela affecterait de nombreuses organisations exploitant encore leur propre infrastructure de messagerie plutôt que d’utiliser un SaaS comme Microsoft 365.
Corriger les failles protégera votre organisation si vous n’avez pas déjà été ciblé. Mais ceux qui ont été attaqués sont toujours vulnérables grâce aux serveurs infectés et aux shells Web persistants que Hafnium peut utiliser comme porte dérobée. Pour aider les utilisateurs d’Exchange à savoir s’ils ont été compromis, Microsoft recommande deux actions spécifiques: Vérifiez vos niveaux de correctif d’Exchange Server et analysez vos fichiers journaux Exchange pour rechercher des indicateurs de compromission. Un script de Microsoft peut analyser automatiquement vos serveurs Exchange pour les IOC.
Un article de blog de l’équipe Microsoft Exchange et un article du Centre de réponse de sécurité Microsoft offrent tous deux des détails supplémentaires sur l’installation et le dépannage des correctifs et la recherche des IOC.
Et si votre organisation a été compromise?
« Corriger leurs serveurs Exchange empêchera une attaque si leur serveur Exchange n’a pas déjà été compromis », a déclaré Oliver Tavakoli, directeur technique de Vectra. « Mais cela n’annulera pas la position des attaquants sur un serveur Exchange déjà compromis. La correction ne sera pas simple – elle nécessitera effectivement une sauvegarde des données, une nouvelle image du serveur Exchange, un nettoyage de la sauvegarde de tous les comptes qui ne devraient pas être présents. , réinitialisation de tous les mots de passe et secrets et restauration des données de sauvegarde restantes. »
Au moins 30000 organisations aux États-Unis ont été piratées jusqu’à présent en raison des failles d’Exchange Server, ont déclaré plusieurs sources au site d’informations sur la sécurité KrebsOnSecurity. Dans les jours qui ont suivi la disponibilité des correctifs de Microsoft, Hafnium a intensifié ses attaques sur des serveurs Exchange non corrigés dans le monde entier, selon des experts en sécurité. Steven Adair, président de Volexity, une société qui a signalé les vulnérabilités à Microsoft, a déclaré à KrebsOnSecurity que le groupe basé en Chine était passé à la vitesse supérieure pour rechercher les serveurs Exchange non encore protégés par les correctifs de sécurité.
L’attaque contre Microsoft Exchange est 1000 fois plus dévastatrice que l’attaque SolarWinds, a déclaré le PDG de Cybereason, Lior Div. En effet, Hafnium a ciblé les petites et moyennes entreprises, qui sont le moteur de l’économie mondiale.
« Juste au moment où nous commençons à prendre le virage après une année dévastatrice, cette attaque contre les PME est lancée », a déclaré Div. « Cette attaque est potentiellement encore plus dommageable parce que les PME n’ont généralement pas une position de sécurité aussi robuste, ce qui permet aux acteurs de la menace de s’attaquer aux faibles et de générer de solides flux de revenus de cette façon. »
Les attaques de Hafnium ont déclenché des réponses de différentes agences gouvernementales et départements aux États-Unis. La Cybersecurity & Infrastructure Security Agency a émis un avertissement le 6 mars, conseillant aux organisations d’exécuter le script de Microsoft pour détecter les IOC. Un autre avis de CISA a indiqué que tous les ministères et organismes civils fédéraux exécutant des produits Microsoft Exchange sur site sont tenus de mettre à jour ou de déconnecter les produits de leurs réseaux jusqu’à ce que les correctifs Microsoft soient appliqués.
Même la Maison Blanche s’est impliquée. Vendredi, l’attachée de presse de la Maison Blanche, Jen Psaki, qui a qualifié les vulnérabilités de «significatives» et celles qui «pourraient avoir des répercussions importantes», a fait part de ses inquiétudes quant au nombre de victimes, selon Reuters. Dimanche, un responsable de la Maison Blanche a déclaré que les correctifs et les mesures d’atténuation n’étaient pas suffisants pour les organisations déjà compromises et a exhorté celles disposant d’un serveur Exchange vulnérable à prendre des mesures pour déterminer si elles avaient été ciblées.