Faille des serveurs Microsoft Exchange : 10 groupes pirates ont été identifiés

11 mars 2021 à 18h55
4
piratage-hacking-hacker.jpg © Pixabay
© Pixabay

ESET Research fait de nouvelles révélations sur les récentes vulnérabilités de Microsoft Exchange, qui provoquent l'inquiétude de la Maison-Blanche.

Les vulnérabilités des serveurs Microsoft Exchange n'en finissent plus de faire parler. À l'instar de l'affaire SolarWinds , les (mauvaises) nouvelles nous parviennent jour après jour, et voilà que l'on apprend, ce jeudi 11 mars, que les premiers groupes pirates derrière l'exploitation de ces failles ont été identifiés. Par ailleurs, plus de 5 000 serveurs de messagerie basés dans plus de 115 pays auraient été ciblés par les activités malveillantes cybercriminelles.

Hafnium, loin d'être le seul à s'être engouffré dans les failles

Avant toute chose, un petit rappel des faits s'impose. Le 2 mars 2021, Microsoft a publié quatre correctifs qui n'étaient pas à l'ordre du jour, pour corriger tout autant de vulnérabilités qui permettaient aux hackers de lancer une attaque en trois étapes pour s'emparer de n'importe quel serveur Exchange :

  • L'accès au serveur Exchange ;
  • la création d'un webshell, ce script ou programme malveillant qui permet de prendre le contrôle d'un appareil à distance par exécution de code ;
  • l'accès permettant le vol de données du réseau, le tout sans même avoir les identifiants d'un compte valide.

Si l'environnement cyber est unanime pour conseiller l'installation des correctifs le plus rapidement possible pour tout client des versions 2013, 2016 et 2019 des serveurs Exchange déployés dans l'infrastructure (car les versions Cloud d'Exchange sont épargnées, comme le confirme Kaspersky), les ennuis ne sont pour autant pas finis. Car si Microsoft a d'abord attribué l'exploitation des vulnérabilités au groupe Hafnium, environ 30 000 organisations (rien qu'aux États-Unis), et des milliers d'autres dans le monde, ont été piratées du fait de ces quatre failles. De nombreux autres groupes exploitaient eux aussi les vulnérabilités, avant même la publication des patchs.

Des groupes majoritairement intéressés par l'espionnage

ESET Research aurait détecté, ces derniers jours, des webshells sur plus de 5 000 serveurs de messagerie. Certains d'entre eux seraient reliés à d'importantes organisations, comme l'Autorité bancaire européenne. Et alors que les premiers signalements de ces vulnérabilités remontent au 5 janvier 2021, les chercheurs d'ESET ont identifié d'autres groupes.

Tous semblent être motivés par l'espionnage, tandis que l'un d'eux pourrait être lié à une campagne d'extraction de cryptomonnaie. Mais comme nous l'affirmions dans un précédent article sur Clubic, les opérateurs de ransomwares ne devraient pas tarder à pointer le bout de leur nez.

Parmi les dix autres groupes identifiés, outre Hafnium, Tick a pu compromettre le serveur web d'une entreprise basée en Asie de l'Est. LuckyMouse, lui, a sévi au sein d'une entité gouvernementale au Moyen-Orient. Tous deux en exploitant l'une des failles avant la publication des correctifs. Même chose pour Calypso, qui a compromis des serveurs de messagerie d'entités gouvernementales en Moyen-Orient et en Amérique du Sud. WGroupe Winnti a pour sa part ciblé une compagnie pétrolière et une entreprise d'équipements de construction en Asie. DLTMiner reste le seul à être lié à une campagne d'extraction de cryptomonnaie.

Les victimes ne manquent pas et la liste devrait s'allonger au fur et à mesure des compromissions découvertes. « En cas de compromission, les administrateurs doivent supprimer les webshells, modifier les identifiants et rechercher toute activité malveillante supplémentaire. Cet incident nous rappelle que les applications complexes telles que Microsoft Exchange ou SharePoint ne doivent pas être ouvertes directement sur Internet », indique Matthieu Faou, qui dirige les études d'ESET sur l'incident.

Source : ESET

Modifié le 12/03/2021 à 08h56
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
4
nicgrover
«&nbsp;plus de 5 000 serveurs de messagerie basés dans plus de 115 pays auraient été ciblés par les activités malveillantes de cybercriminelles.&nbsp;»<br /> Je me doutais bien que les filles étaient derrière tout ça…
AlexLex14
«&nbsp;De&nbsp;» était en trop, c’est retiré
jeroboam64
La cybercriminalité n’est qu’au début de son activité, puisque rentable…les entreprises et administrations devront renforcer leurs sécurité informatique sous peine de connaître des intrusions et demande de rançons. Finalement cela risque de créer des emplois par le bief de nouvelles sociétés qui vont proposes leurs services de protections de données …
carinae
Ça fait quelques temps déjà que le recrutement dans la sécu IT est en nette augmentation et est une préoccupation importantes notamment chez les OIV. Et ça va s’intensifier dans les années à venir.<br /> Par contre ça serait assez intéressant de savoir quel type d’informations ces hackers d’état cherchent … A mettre en relation avec le covid ??
AlexLex14
ça touche pas mal le secteur de la santé, effectivement, mais aussi le monde juridique, celui de la finance, ou encore l’enseignement supérieur…
Voir tous les messages sur le forum

Lectures liées

Un japonais utilise de l'IA pour
Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Google communique sur les attaques informatiques qui visent les youtubeurs depuis 2019
L'Argentine victime d'un piratage hors norme, les données de Lionel Messi dans le lot
La Chine et la Russie soupçonnées d'ingérences numériques, ces mesures qui vont permettre de surveiller la campagne présidentielle
Une vulnérabilité critique découverte dans un langage de programmation utilisé pour des mods de jeux vidéo
Plusieurs vulnérabilités ont été trouvées dans WP Fastest Cache, un plugin WordPress populaire
Haut de page