Failles Microsoft Exchange : le nombre de victimes s’envole

Spread the love
  • Yum

Failles Microsoft Exchange : le nombre de victimes s'envole

Les États unis avaient déjà largement de quoi s’occuper avec les retombées de l’attaque SolarWinds, mais un nouveau sujet d’inquiétude vient s’inscrire à l’agenda : l’exploitation massive des failles Exchange signalées par Microsoft en début de semaine dernière.

publicité

Des cibles européennes dans le lot

Microsoft avait en effet alerté en début de semaine sur la découverte de quatre failles affectant son logiciel de messagerie Microsoft Exchange. Celles-ci étant activement exploitées par des attaquants, Microsoft avait choisi de publier sans attendre un correctif visant à corriger les vulnérabilités.

Dans son avis initial, Microsoft indiquait que ces failles étaient exploitées par un groupe baptisé Hafnium, qui ciblait principalement des organisations americaines. Si Microsoft restait peu loquace sur le volume des attaques, des articles publiés dans la presse américaine donnent plus de précision sur l’ampleur de la campagne exploitant ces vulnérabilités : selon le journaliste en cybersécurité Brian Krebs, qui cite de multiples sources. Du côté de chez Reuters, qui cite également des sources proches du dossier, on tablait plutôt sur au moins 20 000 organisations affectées. Ces estimations pourraient néanmoins se révéler incomplètes : Krebs cite ainsi le témoignage d’experts en cybersécurité évoquant « des centaines de milliers » de victimes.

Si la plupart des publications évoquent des victimes principalement américaines, Reuters mentionne que plusieurs dizaines de milliers d’organisations basées en Europe et en Asie sont également visées par ces attaques. L’Autorité bancaire européenne fait ainsi partie du lot : dans un communiqué publié dimanche, celle-ci indique avoir mis hors ligne ses systèmes de messagerie suite à une attaque informatique ayant visé ses serveurs Exchange. Les premières investigations sont en cours afin de determiner l’ampleur exacte de l’attaque.

Acceleration des échanges

Selon Brian Krebs, le rythme des attaques aurait particulièrement augmenté au cours de la semaine, suite à la publication des correctifs par Microsoft. Pour les attaquants, il est en effet urgent de s’attaquer à un grand nombre d’organisations avant que celles-ci n’appliquent les patchs corrigeant les vulnérabilités exploitées par le groupe.

Cette campagne d’attaque massive est attribuée au groupe Hafnium, un groupe présenté en début de semaine dernière par Microsoft . Les quatre failles sont exploitées par le groupe afin de prendre le contrôle des serveurs Exchange et exploiter cet accès pour ensuite prendre pied sur le réseau des entreprises visées. Dans la plupart des cas, les attaquants profitent de ces accès pour installer un web shell sur les appareils compromis, un logiciel qui permet d’accéder à distance à la machine et de garder un accès à la machine même si les administrateurs corrigent les failles exploitées par les attaquants.

Cet ensemble de failles a été baptisé Proxylogon par la société Devcore, qui explique avoir découvert plusieurs de ces vulnérabilités en fin d’année 2020 et les avoir signalées à Microsoft au début du mois de janvier. L’appellation Proxylogon désigne aujourd’hui quatre vulnérabilités distinctes (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) utilisées conjointement par les attaquants pour prendre le contrôle des machines visées.

Microsoft a publié un outil permettant de détecter les appareils piratés par des attaquants exploitant ces vulnérabilités. L’éditeur met également à jour ses différents outils de détection afin de leur permettre de repérer les traces d’éventuelles attaques.

L’enjeu pour les administrateurs est à la fois d’appliquer les patchs diffusés par Microsoft en début de semaine dernière, afin de parer de futures attaques, mais aussi de détecter les traces laissées par des attaques antérieures exploitant Proxylogon. La société Volexity avait ainsi signalé la semaine dernière que les premières attaques exploitant ces différentes vulnérabilités avaient été constatées par ses équipes depuis le 6 janvier 2021.

Leave a Reply

%d bloggers like this: