Posté le mars 3, 2021 à 16:47
LES HACKERS CHINOIS EXPLOITENT LES VULNÉRABILITÉS DES SERVEURS EXCHANGE
Microsoft a mis en garde les utilisateurs contre l’exploitation des failles des serveurs d’Exchange par des hackers chinois. Le géant de la technologie a découvert que les hackers enchaînaient plusieurs exploits zero-day pour voler les données de messagerie des serveurs Exchange de Microsoft. Cependant, Exchange Online et tous les autres produits Microsoft n’ont pas été touchés par l’attaque.
Microsoft a également publié des correctifs d’urgence pour quatre des failles qui faisaient partie de l’arsenal des hackers. « Nous recommandons vivement aux clients de mettre à jour les systèmes sur site immédiatement », a conseillé la société.
Le groupe HAFNIUM est accusé de l’attaque
Microsoft a déclaré que l’auteur est HAFNIUM, un opérateur APT chinois qui opère à partir d’un VPS loué aux États-Unis.
En général, HAFNIUM attaque des entreprises aux États-Unis dans différents secteurs tels que les groupes de réflexion sur les politiques, les entrepreneurs de la défense, les établissements d’enseignement supérieur, les cabinets d’avocats, les chercheurs en maladies infectieuses, ainsi que les ONG.
Microsoft a déclaré que d’après les conclusions de ses analystes, il est très probable que HAFNIUM soit un groupe cybercriminel parrainé par le gouvernement chinois, d’après les procédures, les tactiques et la victimologie du groupe.
La vulnérabilité a exposé les clients du géant technologique à des attaques par exécution de code à distance qui ne nécessitent pas d’authentification.
Microsoft a ajouté que l’acteur malveillant a profité des failles pour accéder aux serveurs Exchange sur site, leur donnant un accès non autorisé aux comptes de messagerie.
Les hackers ont ciblé quatre vulnérabilités
Elle a également permis aux hackers d’installer des logiciels malveillants supplémentaires pour un accès à long terme aux environnements des victimes.
Les quatre vulnérabilités exploitées dans la nature comprennent CVE-2021-27065, CVE-2021-26858, CVE-2021-26857 et CVE-2021-26855.
La vulnérabilité CVE-2021-26855 permet à l’attaquant d’envoyer des demandes de rançon HTTP et de s’authentifier en tant que serveur Exchange. La vulnérabilité CVE-2021-26855 est particulièrement grave car elle peut être exploitée à distance sans nécessiter d’authentification. Les hackers n’ont qu’à trouver le serveur sur lequel fonctionne Exchange et le compte sur lequel ils veulent que l’extraction du courrier électronique soit effectuée.
Microsoft a également déclaré que les attaquants ont suivi trois étapes pour exploiter les failles. Dans la première étape, le groupe a pu accéder à un serveur Exchange en utilisant des vulnérabilités découvertes précédemment ou en utilisant des mots de passe volés. Lors de la deuxième étape, l’attaquant a contrôlé le serveur compromis à distance après avoir créé un shell web à cet effet.
Pour la troisième étape, les acteurs malveillants ont utilisé l’accès à distance depuis les serveurs privés aux États-Unis pour voler des données sur les réseaux des organisations.
Microsoft invite ses clients à appliquer un correctif
Microsoft a également révélé avoir découvert que HAFNIUM interagissait avec les locataires Office 365 victimes. Bien qu’ils n’aient pas réussi les attaques, leurs activités incessantes sur le réseau leur donnent plus de chances de compromettre les comptes des clients, a déclaré Microsoft.
Les hackers ont également réussi à télécharger le carnet d’adresses hors ligne d’Exchange à partir des serveurs piratés. Les données compromises contiennent des informations sur l’organisation victime ainsi que des informations sur ses utilisateurs, selon Microsoft.
Microsoft a également déclaré que le rapport sur l’incident de piratage a été crédité à la société de cybersécurité Volexity. La société de sécurité a également publié un billet de blog qui utilise la vidéo pour démontrer les détails techniques de l’attaque. Elle a également révélé les adresses IP utilisées par les hackers lors de l’attaque.
Volexity a également révélé qu’elle avait découvert des activités irrégulières sur les serveurs Exchange de deux de ses clients au début du mois de janvier, ce qui a donné des indications sur la découverte des attaques.
Selon Volexity, les attaques ont déjà commencé depuis le 6 janvier.
Et avec une deuxième vulnérabilité, le hacker peut avoir un accès complet à l’exécution de code à distance, ce qui lui permet d’installer des logiciels malveillants sur le serveur.
Microsoft a également déclaré qu’elle a travaillé sans relâche pour fournir un correctif et une mise à jour de la faille. Toutefois, il est important de veiller à ce que les systèmes des clients soient entièrement mis à jour. Le géant de la technologie a déclaré que les clients devraient appliquer le correctif dès que possible pour rester totalement protégés.
Pour renforcer la sécurité, la société souhaite publier un correctif pour le serveur Microsoft Exchange 2010 afin de réduire les risques. Microsoft a également mis à jour son antivirus gratuit pour détecter les logiciels malveillants de HAFNIUM.