Microsoft a récemment corrigé quatre vulnérabilités zero-day dans son serveur de messagerie Exchange. L’impact des failles est assez alarmant, car la plate-forme Exchange est l'une des plus populaires de l'infrastructure d'entreprise.
En outre, Microsoft pense que les failles ont été activement exploitées par un groupe de menaces basé en Chine connu sous le nom de Hafnium. Le groupe de piratage cherchait un accès permanent aux systèmes de messagerie, Microsoft dit. Malgré les attaques ont été décrites comme limitées et ciblées, d'autres groupes de menaces profitent également des jours zéro. Les indications d'attaques remontent au début de 2021.
Hafnium hackers ciblant diverses institutions
Il convient de mentionner que c'est la première fois que Microsoft mentionne publiquement les pirates Hafnium. Ces hackers ciblent diverses institutions et experts, y compris les cabinets d'avocats, établissements d'enseignement, ONG, chercheurs sur les maladies.
historiquement, Hafnium cible principalement les entités aux États-Unis dans le but d'exfiltrer des informations provenant d'un certain nombre de secteurs industriels, y compris les chercheurs en maladies infectieuses, cabinets d'avocats, établissements d'enseignement supérieur, entrepreneurs de la défense, groupes de réflexion politiques et ONG. Alors que Hafnium est basé en Chine, il mène ses opérations principalement à partir de serveurs privés virtuels loués (VPS) aux Etats-Unis, dit Tom Burt, vice-président d'entreprise pour la sécurité client & Faites confiance à Microsoft.
Microsoft a travaillé rapidement pour corriger les exploits Hafnium. Cependant, on s'attend à ce que d'autres acteurs et pirates informatiques de l'État-nation profitent de systèmes non corrigés. L'application des correctifs dès que possible minimisera le risque de tout compromis lié à l'échange zéro-jour.
En savoir plus sur les quatre jours zéro du serveur de messagerie Exchange
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065
Les vulnérabilités affectant Microsoft Exchange Server sont CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065. Heureusement, Exchange Online n'est pas affecté. Les versions concernées incluent Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, et Microsoft Exchange Server 2019.
Les failles sont utilisées dans le cadre d'une chaîne d'attaque, Microsoft met en garde. Pour être initié avec succès, une attaque nécessite une connexion non approuvée à un port de serveur Exchange spécifique, 443. Cette faille peut être protégée en restreignant la connexion non approuvée, ou en mettant en place un VPN pour séparer le serveur de l'accès externe. Cependant, ces astuces d'atténuation n'offrent qu'une protection partielle. La société avertit que d'autres parties de l'attaque en chaîne peuvent être déclenchées si un attaquant a déjà accès ou peut convaincre un administrateur d'exécuter un fichier malveillant.
Il est curieux de mentionner qu'en mars dernier, des groupes de piratage d'État exploitaient CVE-2020-0688, une autre vulnérabilité dans les serveurs de messagerie Microsoft Exchange. Puis, en mai, le serveur Exchange a été attaqué par le soi-disant cheval de Troie Valar. L'attaque du malware ciblait des victimes principalement en Allemagne et aux États-Unis. Il a été classé comme une menace avancée livrée aux systèmes vulnérables en plusieurs étapes.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: