Failles Exchange : Microsoft fait la chasse au PoC

Spread the love
  • Yum

Failles Exchange : Microsoft fait la chasse au PoC

Microsoft enquêterait sur une fuite potentielle de partenaires qui aurait pu contribuer à la vague d’attaques contre les serveurs Microsoft Exchange.

Selon le Wall Street Journal, le géant de Redmond cherche à savoir si des “informations potentiellement sensibles” nécessaires pour mener les attaques ont été obtenues par le biais de “divulgations privées faites par certains de ses partenaires de sécurité”.

publicité

Le 2 mars, Microsoft a publié des correctifs d’urgence pour corriger quatre vulnérabilités de type “zero day” dans Microsoft Exchange Server, qui étaient activement exploitées par des attaquants.

Ces bugs critiques ont été divulgués en privé en janvier et, depuis lors, leur exploitation a gagné en popularité au point que les chercheurs estiment que des dizaines de milliers d’entreprises dans le monde ont été touchées.

Le groupe de pirates chinois Hafnium, soupçonné d’être soutenu l’État, a été initialement désigné comme étant à l’origine de ces attaques. Aujourd’hui, cependant, un code de preuve de concept (Proof of concept, PoC) a été publié et d’autres groupes malveillants sophistiqués (Advanced Persistent Threat, APT) tentent de tirer parti de la situation. Des ransomwares sont également déployés dans certaines attaques.

Ce code PoC ferait également l’objet de la dernière enquête de Microsoft. Microsoft cherche à savoir si le code envoyé en privé par l’entreprise aux partenaires du programme Microsoft Active Protections (Mapp) a été divulgué, que ce soit délibérément ou accidentellement.

Le PoC a été envoyé aux antivirus et à d’autres entreprises de cybersécurité le 23 février, avant la publication du correctif, afin de donner aux entreprises partenaires des informations en avance. Cependant, il semble que certains des outils utilisés dans les attaques qui ont débuté une semaine plus tard présentent des “similitudes” avec le PoC envoyé par Microsoft, selon le Wall Street Journal.

Interrogé sur les déclarations du Wall Street Journal, Microsoft fait savoir que “Nous examinons ce qui aurait pu causer le pic d’activité malveillante et n’avons pas encore tiré de conclusions. Nous n’avons vu aucune indication d’une fuite chez Microsoft liée à cette attaque”

Environ 80 organisations participent au programme Mapp.

Dans un billet de blog daté du 12 mars, Microsoft a déclaré que la protection des serveurs Exchange vulnérables est désormais une question “critique”. C’est la raison pour laquelle la société a récemment publié des correctifs additionnels pour corriger les failles sur les versions d’Exchange ne bénéficiant plus de support officiel.

Toutefois, l’application de correctifs n’est pas suffisante car elle ne permet pas d’éradiquer les infections existantes. Par conséquent, Microsoft recommande également de rechercher les indicateurs de compromission sur les serveurs Exchange.

Microsoft collabore actuellement avec RiskIQ pour recenser le nombre de serveurs en ligne non corrigés et toujours vulnérables aux attaques. À la date du 12 mars, environ 82 000 serveurs n’ont toujours pas été mis à jour.

“Microsoft s’engage à soutenir ses clients contre ces attaques, à innover dans son approche de la sécurité et à collaborer étroitement avec les gouvernements et le secteur de la sécurité pour assurer la sécurité de ses clients et de ses communautés”, a déclaré l’entreprise.

Source : “ZDNet.com”

Leave a Reply

%d bloggers like this: