Microsoft alerte sur des failles zero-day exploitées en Chine et provenant de son logiciel Exchange

03 mars 2021 à 14h47
4
cybersécurité faille vulnérabilité © madartzgraphics / Pixabay
© madartzgraphics / Pixabay

Quatre failles zero-day, qui touchaient des serveurs Exchange, ont été détectées par Microsoft, qui a rapidement publié un correctif. Les vulnérabilités étaient exploitées par un groupe de cybercriminels affilié à la Chine.

En toute transparence, Microsoft a alerté sa communauté, mardi 2 mars, sur la montée en puissance d'un groupe, baptisé Hafnium, qui bénéficierait du soutien direct de l'État chinois, mais opérerait hors des murs de l'Empire du Milieu. Les assauts du collectif de cybercriminels, considéré comme « hautement qualifié et sophistiqué »par Microsoft, ont permis d'activement exploiter quatre failles zero-day (c'est-à-dire non découvertes jusqu'à ce jour) dans le but d'attaquer des serveurs Exchange et de dérober des données.

Une compromission en trois étapes

Avant toute chose, il est important de préciser que ces quatre vulnérabilités répondent aux identifiants suivants : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065. Les versions 2013, 2016 et 2019 de Microsoft Exchange Server, toutes trois concernées, ont ainsi bénéficié d'un patch et doivent être mises à jour au plus vite par leurs utilisateurs.

Concernant la faille en elle-même, il s'agit pour les pirates d'opérations en trois étapes majeures. La première consiste à accéder à un serveur Exchange à l'aide d'un mot de passe dérobé, en s'appuyant sur une vulnérabilité zero-day afin de se faire passer pour une personne qui a bien accès au serveur.

Une fois l'accès au compte de messagerie débloqué, les pirates créent une porte dérobée webshell, qui permet de prendre le contrôle à distance du serveur compromis, et de faciliter l'installation de logiciels malveillants. La troisième et dernière étape consiste à mettre à profit cet accès à distance pour procéder à un vol de données, en les compressant et en les exfiltrant en fichiers ZIP par exemple. Ces données peuvent être des informations issues d'une messagerie électronique ou un carnet d'adresses Exchange, qui livre de nombreux détails sur une entreprise et ses utilisateurs.

Hafnium, ce groupe de hackers qui inquiète Microsoft

L'un des hommes forts de la sécurité chez Microsoft, Tom Burt, a consacré un billet sur la menace Hafnium, repérée par le Microsoft Threat Intelligence Center (MSTIC). Il y fait part de son inquiétude globale. « Nous savons que de nombreux acteurs des États-nations et groupes criminels agiront rapidement pour tirer parti de tous les systèmes non corrigés » affirme-t-il.

Parrainé par la Chine, le groupe Hafnium cible aujourd'hui essentiellement des sociétés et autres entités installées aux États-Unis. Son objectif est de dérober des informations clés provenant de secteurs sensibles, comme la santé et les maladies infectieuses, le monde juridique et les cabinets d'avocats, les établissements d'enseignement supérieur, les ONG et think tanks, ainsi que les entrepreneurs du secteur de la défense.

Microsoft explique que, soutenu par l'État chinois, le groupe Hafnium mène ses opérations depuis des serveurs privés virtuels loués directement aux USA. Le géant américain affirme pour le moment ne détenir aucune preuve d'agissements d'Hafnium sur d'autres produits Microsoft ou contre des consommateurs individuels. L'entreprise estime que le groupe ne vise, à sa connaissance donc, que le monde professionnel, client majeur des serveurs Exchange. Pas de lien non plus avec les attaques SolarWinds, selon Microsoft.

Source : Microsoft

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
Luciolle
Bonsoir,<br /> Ce groupe supposé a la solde de la chine, (reste a démontrer) ferai un piratage sur les serveur MS. Ce sont des petits joueurs comparer a la NSA qui elle surveille par des intrusions tous les serveur de la planète les entreprises du monde entier pour aider les firmes US a imposer des ultimatums au firm européennes par exemple. racket d’état sur ALSTOM par exemple.
bmustang
Alors qu’un groupe comme microsoft annonce qu’il n’a pas de preuve, où sont vos preuves sur les ragots que vous publiez sur la NSA ?
UncleJul
Pop-corn. Encore une fois, nous sommes en 2020 et le lecteur clubic averti sait bien qu’ils s’adonnent tous à ce genre de pratiques, chacun à sa façon.<br /> On pourrait même considérer que les pays qui ne pratiquent pas l’espionnage industriel, accusent un retard technologique important sur leurs concurrents.<br /> La messe est dites, pas la peine, c’est gratuit.
nemo2023
Et cocorico la France n’est pas en retard… ok je sors
Voir tous les messages sur le forum

Derniers actualités

Vous pouvez voir dans quelle station aller faire le plein ce week-end grâce à Waze
Pourquoi Amazon arrête les tests de son robot de livraison à roulettes
Pixel 7 vs iPhone 14 : on compare les derniers smartphones de Google et d'Apple
Foncez ! NordVPN vous propose une offre VPN exclusive à l'occasion du grand prix de Squeezie !
Pixel Fold : le smartphone pliant de Google arriverait finalement début 2023
Attention, Facebook s'est fait voler 1 million de mots de passe, changez le vôtre !
Transfert de données personnelles UE-USA : Joe Biden signe un décret fondateur
Apple : les nouveaux AirPods Pro 2 sont en promo en ce moment !
Mise à feu ! Ariane 6 passe une nouvelle étape de ses tests en Allemagne
Prime Day : Amazon baisse le prix des écouteurs JBL Wave 200TWS en avance
Haut de page