Microsoft alerte sur des failles zero-day exploitées en Chine et provenant de son logiciel Exchange

03 mars 2021 à 14h40
2
cybersécurité faille vulnérabilité © madartzgraphics / Pixabay
© madartzgraphics / Pixabay

Quatre failles zero-day, qui touchaient des serveurs Exchange, ont été détectées par Microsoft, qui a rapidement publié un correctif. Les vulnérabilités étaient exploitées par un groupe de cybercriminels affilié à la Chine.

En toute transparence, Microsoft a alerté sa communauté, mardi 2 mars, sur la montée en puissance d'un groupe, baptisé Hafnium, qui bénéficierait du soutien direct de l'État chinois, mais opérerait hors des murs de l'Empire du Milieu. Les assauts du collectif de cybercriminels, considéré comme « hautement qualifié et sophistiqué »par Microsoft, ont permis d'activement exploiter quatre failles zero-day (c'est-à-dire non découvertes jusqu'à ce jour) dans le but d'attaquer des serveurs Exchange et de dérober des données.

Une compromission en trois étapes

Avant toute chose, il est important de préciser que ces quatre vulnérabilités répondent aux identifiants suivants : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065. Les versions 2013, 2016 et 2019 de Microsoft Exchange Server, toutes trois concernées, ont ainsi bénéficié d'un patch et doivent être mises à jour au plus vite par leurs utilisateurs.

Concernant la faille en elle-même, il s'agit pour les pirates d'opérations en trois étapes majeures. La première consiste à accéder à un serveur Exchange à l'aide d'un mot de passe dérobé, en s'appuyant sur une vulnérabilité zero-day afin de se faire passer pour une personne qui a bien accès au serveur.

Une fois l'accès au compte de messagerie débloqué, les pirates créent une porte dérobée webshell, qui permet de prendre le contrôle à distance du serveur compromis, et de faciliter l'installation de logiciels malveillants. La troisième et dernière étape consiste à mettre à profit cet accès à distance pour procéder à un vol de données, en les compressant et en les exfiltrant en fichiers ZIP par exemple. Ces données peuvent être des informations issues d'une messagerie électronique ou un carnet d'adresses Exchange, qui livre de nombreux détails sur une entreprise et ses utilisateurs.

Hafnium, ce groupe de hackers qui inquiète Microsoft

L'un des hommes forts de la sécurité chez Microsoft, Tom Burt, a consacré un billet sur la menace Hafnium, repérée par le Microsoft Threat Intelligence Center (MSTIC). Il y fait part de son inquiétude globale. « Nous savons que de nombreux acteurs des États-nations et groupes criminels agiront rapidement pour tirer parti de tous les systèmes non corrigés » affirme-t-il.

Parrainé par la Chine, le groupe Hafnium cible aujourd'hui essentiellement des sociétés et autres entités installées aux États-Unis. Son objectif est de dérober des informations clés provenant de secteurs sensibles, comme la santé et les maladies infectieuses, le monde juridique et les cabinets d'avocats, les établissements d'enseignement supérieur, les ONG et think tanks, ainsi que les entrepreneurs du secteur de la défense.

Microsoft explique que, soutenu par l'État chinois, le groupe Hafnium mène ses opérations depuis des serveurs privés virtuels loués directement aux USA. Le géant américain affirme pour le moment ne détenir aucune preuve d'agissements d'Hafnium sur d'autres produits Microsoft ou contre des consommateurs individuels. L'entreprise estime que le groupe ne vise, à sa connaissance donc, que le monde professionnel, client majeur des serveurs Exchange. Pas de lien non plus avec les attaques SolarWinds, selon Microsoft.

Source : Microsoft

Modifié le 03/03/2021 à 14h47
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
2
3
Luciolle
Bonsoir,<br /> Ce groupe supposé a la solde de la chine, (reste a démontrer) ferai un piratage sur les serveur MS. Ce sont des petits joueurs comparer a la NSA qui elle surveille par des intrusions tous les serveur de la planète les entreprises du monde entier pour aider les firmes US a imposer des ultimatums au firm européennes par exemple. racket d’état sur ALSTOM par exemple.
bmustang
Alors qu’un groupe comme microsoft annonce qu’il n’a pas de preuve, où sont vos preuves sur les ragots que vous publiez sur la NSA ?
UncleJul
Pop-corn. Encore une fois, nous sommes en 2020 et le lecteur clubic averti sait bien qu’ils s’adonnent tous à ce genre de pratiques, chacun à sa façon.<br /> On pourrait même considérer que les pays qui ne pratiquent pas l’espionnage industriel, accusent un retard technologique important sur leurs concurrents.<br /> La messe est dites, pas la peine, c’est gratuit.
Voir tous les messages sur le forum

Lectures liées

Un japonais utilise de l'IA pour
Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire
Haut de page