Failles de Microsoft Exchange : les correctifs apportés ne suffisent pas, ce qui inquiète la Maison-Blanche

08 mars 2021 à 13h30
16
attaque-informatique-piratage.jpg © Pixabay
© Pixabay

Les patchs publiés il y a quelques jours par Microsoft pour contrer la menace du groupe Hafnium n'ont pas été un remède suffisant pour colmater certaines vulnérabilités.

L'inquiétude grandit aux États-Unis, où la menace de quatre failles zero-day qui touchaient des serveurs Exchange (et la messagerie Outlook par ricochet) est en train de prendre une ampleur très importante, jusqu'à donner des frissons à Washington, où l'on craint un scandale de type SolarWinds . Malgré les correctifs apportés par Microsoft mardi dernier, d'autres systèmes non-corrigés sont ciblés, exposant des dizaines de milliers d'organisations basées outre-Atlantique et ailleurs.

Les correctifs déployés par Microsoft sans effet sur les systèmes déjà compromis

Plusieurs failles zero-day découvertes dans des serveurs Microsoft Exchange ont été activement exploitées par un acteur qui serait soutenu par l'État chinois, Hafnium. Ces vulnérabilités, qui permettent de créer une porte dérobée et d'avoir ainsi librement accès aux données et informations des messageries électroniques (grâce à une webshell, qui permet de prendre le contrôle d'un appareil à distance), ont chacune reçu un correctif le mardi 2 mars.

Mais les efforts de Microsoft n'ont pas été suffisants, et le mal semble en réalité être bien plus profond. Dimanche, la Maison-Blanche elle-même a appelé les opérateurs de réseaux informatiques à faire le nécessaire pour déceler toute menace ou intrusion de leurs systèmes, des suites de ces failles.

Selon Washington, les patchs mis en ligne n'ont pas résolu le problème. « Il s'agit d'une menace active toujours en développement, et nous exhortons les opérateurs de réseau à la prendre très au sérieux », indique le bureau ovale. D'autant plus que les correctifs n'ont pas eu d'effet sur les systèmes déjà compromis, qui ne sont pas désinfectés. Plusieurs dizaines de milliers d'organisations, aux États-Unis mais aussi dans le reste du monde, auraient été frappées par ce nouveau piratage de masse.

Plusieurs groupes cybercriminels auraient pu exploiter les failles

À la base, le groupe derrière l'exploitation de ces vulnérabilités, Hafnium, ne ciblait que des entités bien particulières, surtout celles issues de secteurs sensibles, comme la santé, le juridique, la recherche ou les ONG. Mais Microsoft a communiqué de façon alarmante, peu avant le week-end, expliquant « constater une utilisation accrue de ces vulnérabilités dans les attaques ciblant des systèmes non corrigés par plusieurs acteurs malveillants au-delà de Hafnium ».

Selon les diverses sources et professionnels consultés, plusieurs autres groupes peuvent déjà avoir exploité ces vulnérabilités, et certains collectifs spécialisés dans le ransomware pourraient peut-être bientôt entrer dans le danse, pour le plus grand malheur des victimes, dans ce qui semble être nouvelle affaire cybercriminelle de masse.

Ce qu'il faut retenir 📝

Pour bien comprendre la situation, il faut savoir que les vulnérabilités ont effectivement été corrigées, oui. Cela signifie qu'il n'est plus possible de les exploiter en l'état. Pour autant, chaque entité touchée (et il y en aurait des milliers) avant l'application du correctif, reste exposée. Ces organisations-là doivent manuellement supprimer les webshells et logiciels malveillants installés, si elles veulent définitivement se débarrasser de la menace. Et ceci ne peut se faire qu'en rebâtissant totalement le serveur frappé, ce qui ne sera pas sans conséquence sur les entreprises intéressées.

Source : CNN

Modifié le 09/03/2021 à 18h52
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
16
9
Oldtimer
Autrement si je comprends bien “reconstruire les serveurs” signifie perte des e-mails et autres données sur le cloud lié au compte outlook? Je me trompes ?<br /> Font chier ces maudits pirates du cyber espace !
AlexLex14
Ah si les données n’ont pas été sauvegardées ailleurs avant la compromission, oui, ça signifie tout perdre… <br /> Et généralement les pro’ de la cyber conseillent la reconstruction. Car mieux vaut un grand sacrifice mais une base propre pour la suite, qu’un compromis et des risques ad vitam aeternam.
Nicolas_Charlier
la bonne question a ce poser c’est pourquoi il ya des backdoors dans les logiciels de Microsoft ,qui son utiliser massivement dans l’administration américaine et au pentagone.<br /> Au hasard la nsa par exemple
AlexLex14
Ce qui est certain Nicolas c’est qu’on va encore en découvrir des vertes et des pas mûres sur ces failles. Les langues se délient peu à peu et les victimes semblent très nombreuses.
exoje
Gne? Des failles, il y en a partout chez tout le monde, suffit qu’un groupe ou une personne d’expérience s’intéresse à une activité motivée par X intérêts et tu peux être sure qu’ils trouveront un moyen de rentrer.
Thomas_Manin
Non, il suffit d’intégrer de nouveaux serveurs patché à l’infra existante et de créer des copies des bdd existantes (DAG Exchange)<br /> Ca peut être long en fonction de la volumétrie mais pas de perte de données
Oldtimer
Et du coup je doute fort que Microsoft fasse une sauvegarde de nos e-mails à nous pauvres particuliers ayant un abonnement office 365…<br /> Du coup faut que je récupère vite fait en local tout mes e-mails et docs importants.
dFxed
@Thomas sauf que si il y a des privilèges/scripts/PJ foireuses qui ont été ajoutés, tu risques les copier en faisant la copie.
Oldtimer
J’aurais dû préciser que mon message concernait un particulier ayant un compte office 365 avec e-mails et clouds.<br /> Mais effectivement ton idée est judicieuse bien que probablement coûteuse.
AlexLex14
Tout dépend ensuite où tes informations sont enregistrées et si tu as une base de données de récupération ?<br /> Ce que dit @Thomas_Manin est très pertinent par ailleurs
Oldtimer
Moi j’ai outlook sur mon pc avec récupération des e-mails en local sauf que je ne sais pas si on supprime sur le serveur, est ce que c’est aussi supprimé de mes mails en local.<br /> Il faudrait que je fasse un test pour voir.<br /> En tout cas je sais que si je supprime de mon smartphone, le mail est supprimé du serveur.
flonc
Il y a plusieurs approximations dans l’article. En securite, il est important d’etre precis.<br /> Les patches ont colmate les vulnerabilites.<br /> la messagerie outlook n’est PAS touchee. La messagerie outlook est le service outlook.com. Le lien dans l’article est le client de messagerie.<br /> Les vulnerabilites ne volent pas les mots de passe des admins. Elles donnent un acces systeme sur un serveur Exchange (OWA)<br /> Il est vrai que, comme pour tout autre compromission ou non, corriger la vulnerabilite ne remedie pas la compromission. Un exemple est un cambriolage: reparer la porte d’entree est necessaire mais ne dispense pas de faire le tour de la maison pour verifier que les autres acces n’ont pas ete endommages.
AlexLex14
flonc:<br /> Les patches ont colmate les vulnerabilites.<br /> la messagerie outlook n’est PAS touchee. La messagerie outlook est le service outlook.com. Le lien dans l’article est le client de messagerie.<br /> Les vulnerabilites ne volent pas les mots de passe des admins. Elles donnent un acces systeme sur un serveur Exchange (OWA)<br /> C’est plus ou moins précisé dans l’article déjà, mais merci de l’avoir reformulé avec tes propres mots
carinae
humm … je ne pense pas que les utilisateurs le voient de cette manière … <br /> Va t’en dire a un utilisateur voire au Big Boss qu’il a perdu une partie de ses mails … C’est vraiment ce qu’on appelle le sens du sacrifice … pour le service informatique !
Riniack
Rien à voir avec la notion de pc ou de téléphone et encore moins de serveur. Le fait que les mails «&nbsp;restent&nbsp;» ou pas sur le serveur dépends ni plus ni moins du mode de relève de la boite aux lettre par le client de messagerie et donc du protocole et son paramétrage associé. Je t’invite à regarder sur le net les notions de IMAP/MAPI/POP .<br /> En complément, le service de messagerie outlook.com reposant sur les services Office365 disposent d’une solution de réplication permettant de ne pas avoir à disposer de sauvegarde. Mais si tu as un client mail configuré pour supprimer les message du serveur à la relève (point au dessus) ne t’étonnes pas de ne pas les retrouver du coup lorsque tu configure un nouveau client mail. en effet il ne sera plus sur le serveur.
Riniack
Il faudra lui expliquer qu’il faut investir dans du PRA et PCA et tester les procédures, le tout accompagné d’un plan de formation
flonc
Microsoft a a tout moment trois replicas de tes donnes dans un datacenter. Si le datacenter flanche tes donnees sont transferes automatiquement dans un autre datacenter.<br /> Tu peux rajouter plusieurs niveaux de retention pour eviter les effacements: Microsoft Information Governance in Microsoft 365 - Microsoft 365 Compliance | Microsoft Docs<br /> Et surtout, Office 365 N’EST PAS concerne par ces vulnerabilites
flonc
Tu me permettras d’etre en desaccord L’article dit exactement l’inverse de ce que je liste. Ces elements sont importants pour une evaluation d’exposition.
AlexLex14
Hum, je viens de relire l’article attentive, et je te rejoins effectivement au moins sur deux points <br /> Tu dis que «&nbsp;Les patchs ont colmate les vulnérabilités.&nbsp;»<br /> Et tu as raison. Sauf que c’est dit dans l’article, dans la partie «&nbsp;Ce qu’il faut retenir&nbsp;» :<br /> «&nbsp;il faut savoir que les vulnérabilités ont effectivement été corrigées&nbsp;», peut-on lire.<br /> Et à ce sujet j’ai aussi précisé que les brèches sont colmatées, mais que du moment que tu as été touché, la MAJ n’aura pas d’effet, sauf à agir manuellement.<br /> Donc au final, nous sommes d’accord <br /> Ensuite,<br /> Tu dis que «&nbsp;la messagerie outlook n’est PAS touchee. La messagerie outlook est le service outlook.com. Le lien dans l’article est le client de messagerie&nbsp;» :<br /> Ici, je te réponds que ce qui écrit dans l’article : c’est que ce sont les serveurs Exchange qui sont touchés. Mais oui, j’ai maladroitement écrit que «&nbsp;la messagerie Outlook l’est par ricochet&nbsp;», car par ricochet, Outlook peut aussi être exposée d’une certaine façon car l’utilisation de certaines fonctionnalités d’Outlook requièrent par exemple une certaine version d’Exchange.<br /> Sur le dernier point,<br /> Tu dis que «&nbsp;Les vulnerabilites ne volent pas les mots de passe des admins. Elles donnent un acces systeme sur un serveur Exchange (OWA)&nbsp;»<br /> Et tu as tout à fait raison. J’ai bien précisé pour l’accès, mais évoquer le vol de mot passe était en revanche un beau (mais pas beau ^^) mélange avec une autre affaire rocambolesque, SolarWinds. Donc merci là-dessus.<br /> Merci de ton intervention, qui était très pertinente tu m’as permis de prendre le temps de revoir tout ça à tête reposée, et ça a du bon et c’est toujours un plaisir de discuter dans les coms’ et d’échanger.<br /> Bonne soirée à toi et aux autres
carinae
Et ben …je te souhaite bon courage <br /> Parce que dans l’esprit des gens, Boss y compris, si tu perds des mails … c’est que tu es nul …et comme, dans ce cas, ils ne sont pas contents …ils te le font clairement savoir…
Nicolas_Charlier
Quand on reprend les raports d’analyse des «&nbsp;failles&nbsp;», ce ne sont pas des simples failles mais structure qui ont visiblement introduite dans le code qui même à des backdoors<br /> A la manière des structures de code découverte dans Solaris, suite a l’affaire Sun Microsystem en Suisse (2013).
Voir tous les messages sur le forum

Lectures liées

Un japonais utilise de l'IA pour
Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire
Haut de page