Les serveurs Microsoft Exchange sont sous le feu des pirates

Les plateformes de messagerie de Microsoft Exchange sont actuellement ciblées par des pirates a priori soutenus par un ou des gouvernements, rapporte ZDNet, qui cite la société britannique Volexity.

Les piratages s'appuieraient, précise le média, sur une faille qui vient de recevoir une correction.

Des attaques à la suite d'un correctif

La société Volexity, qui se spécialise dans la cybersécurité, précise sur son site la nature de la faille, nommée CVE-2020-0688, déclarant : « Le 11 février 2020, [...] Microsoft a publié des mises à jour cumulatives et un service pack qui corrigeait une vulnérabilité d'exécution de code à distance trouvée dans Microsoft Exchange 2010, 2013, 2016 et 2019 ».

Mais elle ajoute que deux semaines après la publication de ces correctifs, il était toujours possible pour un hacker d' « exploiter un serveur Exchange vulnérable ». C'est aussi ce qu'a pointé un rapport publié le 26 février par l'enseigne Zero-Day Initiative. Ce rapport a été utilisé par Microsoft pour tester ses propres serveurs. Mais à partir du moment où les données ont été rendues publiques, elles ont également intéressé des pirates. Volexity n'a pas communiqué les noms des groupes à l'origine des attaques. Elle a simplement déclaré « avoir vu cette faille être exploitée par des acteurs de la menace persistante avancée (APT) », un type d'attaque visant à s'installer discrètement sur un réseau pour en surveiller l'activité.

Échec cryptographique

Cela dit, même en disposant des données techniques, les experts précisent que l'utilisation de la faille n'est pas à la portée de n'importe qui. ZDNet précise que « pour exploiter le bogue Exchange CVE-2020-0688, les pirates ont besoin des informations d'identification pour un compte de messagerie sur le serveur Exchange - ce que les petits pirates n'ont généralement pas ». Pour le média, cette activité est le signe d'organisations importantes et soutenues par des États.

Volexity a ajouté que de « multiples » acteurs ont commencé à exploiter ou à tenter d'exploiter cette faille. Dans certains cas, les pirates ont utilisé des informations d'identification qu'ils possédaient depuis longtemps, mais qui ne leur avaient pas servi jusqu'à présent.

La faille reposerait sur l'échec de Microsoft Exchange, au moment de son installation, à créer une clé cryptographique unique. Ainsi, tous les serveurs sur lesquels la création de cette clé a échoué sont susceptibles d'être concernés par l'attaque. La firme TrustedSec met à disposition des instructions pour savoir si une telle attaque a déjà eu lieu sur un serveur donné. Les entreprises qui seraient concernées par ce genre de menaces doivent effectuer les mises à jour de sécurité les plus récentes.

Source : ZDNet