Le correctif de sécurité d’urgence que Microsoft a déployé il y a quelques jours pour corriger quatre failles zero-day dans Exchange Server n’a pas dissuadé le groupe de hacker qui les exploitait. En fait, selon Krebs sur la sécurité et Filaire, le groupe parrainé par l’État chinois surnommé Hafnium a accéléré et automatisé sa campagne après la publication du correctif. Aux États-Unis, le groupe a infiltré au moins 30 000 organisations utilisant Exchange pour traiter le courrier électronique, notamment des services de police, des hôpitaux, des gouvernements locaux, des banques, des coopératives de crédit, des organismes sans but lucratif et des fournisseurs de télécommunications. Dans le monde, le nombre de victimes serait de plusieurs centaines de milliers.
“Presque tous ceux qui exécutent Outlook Web Access auto-hébergé et qui n’ont pas été corrigés il y a quelques jours ont été frappés par une attaque zero-day”, a déclaré une source. Krebs. Un ancien responsable de la sécurité nationale Filaire a déclaré que des milliers de serveurs sont compromis chaque heure dans le monde. Lorsque Microsoft a annoncé son correctif d’urgence, il a remercié la société de sécurité Volexity de l’avoir informé des activités d’Hafnium. Le président de Volexity, Steven Adair, a maintenant déclaré que même les organisations qui avaient corrigé leurs serveurs le jour de la publication de la mise à jour de sécurité de Microsoft avaient peut-être encore été compromises.
De plus, le correctif ne corrigera que les vulnérabilités d’Exchange Server – celles déjà compromises devront toujours supprimer la porte dérobée que le groupe a implantée dans leurs systèmes. Hafnium exploite les failles pour planter des “web shells” dans les serveurs de leurs victimes, leur donnant un accès administratif qu’ils peuvent utiliser pour voler des informations. Selon Krebs, Adair et d’autres experts en sécurité s’inquiètent de la possibilité que les intrus installent des portes dérobées supplémentaires alors que les victimes s’efforcent de supprimer celles déjà en place.
Microsoft a clarifié dès le départ que ces exploits n’avaient rien à voir avec SolarWinds. Cela dit, les activités de Hafnium «peuvent éclipser les attaques de SolarWinds en ce qui concerne le nombre de victimes. Les autorités estiment qu’environ 18 000 entités ont été affectées par la violation des SolarWinds, car c’était le nombre de clients qui ont téléchargé la mise à jour malveillante du logiciel. Comme Filaire note, cependant, que les activités de Hafnium se concentrent sur les petites et moyennes organisations, où les pirates de SolarWinds ont infiltré des géants de la technologie et de grandes agences gouvernementales américaines.
Interrogé sur la situation, Microsoft a déclaré Krebs qu’il travaille en étroite collaboration avec la Cybersecurity & Infrastructure Security Agency des États-Unis, ainsi que d’autres agences gouvernementales et sociétés de sécurité, pour fournir à ses clients des «conseils supplémentaires en matière d’enquête et d’atténuation».
Thoughts on the Hafnium Exchange hack: (1) it's going to disproportionately impact those that can least afford it (SMBs, Edu, States, locals), (2) incident response teams are BURNED OUT & this is at a really bad time, (3) few orgs should be running exchange servers these days. https://t.co/bc5yutThve
— Chris Krebs (@C_C_Krebs) March 6, 2021
Alors, qu’est-ce que vous faites maintenant? (1) patch (si vous ne l’avez pas déjà fait), (2) supposez que vous êtes possédé, recherchez une activité, (3) si vous n’êtes pas capable de chasser ou ne pouvez pas trouver une équipe pour vous aider, déconnectez et reconstruisez , (4) passer au cloud, (5) en verser un pour les équipes IR, ils ont eu une (des) année (s) difficile (s?).
– Chris Krebs (@C_C_Krebs) 6 mars 2021
