Microsoft déclare que les pirates informatiques chinois sont responsables des attaques Exchange

Microsoft déclare que les pirates informatiques chinois sont responsables des attaques Exchange

⌛ Reading Time: 3 minutes

Microsoft a lancé un avertissement à ses clients mardi, et il appelle hardiment les mauvais acteurs. Selon Microsoft, les pirates chinois sont à l’origine des attaques Exchange. La société affirme que des entreprises américaines ont été ciblées par l’exploitation d’une faille dans le produit de messagerie.

Des attaquants chinois exploitent Microsoft Exchange

Microsoft a attiré l’attention sur quatre vulnérabilités zero-day récemment découvertes. La société a connecté les attaques Exchange à des correctifs et à une liste d’indicateurs de compromission.

Les chercheurs de l’entreprise ont étiqueté le groupe de piratage comme « HAFNIUM ». Ils ont expliqué que le groupe est un “acteur hautement qualifié et sophistiqué” qui se concentre sur l’espionnage par le vol de données. HAFNIUM est connu pour poursuivre plusieurs entités américaines, notamment “des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs de la défense, des groupes de réflexion sur les politiques et des ONG”, selon les chercheurs.

Les attaques Exchange ont conduit à l’exfiltration de données à partir de comptes de messagerie. Les pirates accèdent à un serveur Exchange en exploitant zéro jour. Ils utilisaient souvent un shell Web et détournaient les serveurs à distance. Cela leur permet de voler des données à partir d’un réseau associé. Microsoft a déclaré que ces attaques avaient été lancées à partir de serveurs privés basés aux États-Unis.

Tom Burt, vice-président de la sécurité client de Microsoft, a exhorté les clients Exchange à mettre à jour rapidement les failles de sécurité. « Même si nous avons travaillé rapidement pour déployer une mise à jour pour les exploits HAFNIUM, nous savons que de nombreux acteurs étatiques et groupes criminels agiront rapidement pour tirer parti de tout système non corrigé. L’application rapide des correctifs d’aujourd’hui est la meilleure protection contre cette attaque », a-t-il déclaré.

Des chercheurs de deux sociétés de sécurité distinctes, Volexity et Dubex, ont attiré l’attention de Microsoft sur les attaques Exchange. Les chercheurs de Volexity ont trouvé des preuves des attentats du 6 janvier.

Données d'attaques Microsoft Exchange

Dans un article de blog, les chercheurs ont déclaré : « Grâce à son analyse de la mémoire système, Volexity a déterminé que l’attaquant exploitait une vulnérabilité de falsification des demandes côté serveur (SSRF) du jour zéro dans Microsoft Exchange (CVE-2021-26855). L’attaquant utilisait la vulnérabilité pour voler l’intégralité du contenu de plusieurs boîtes aux lettres d’utilisateurs. Cette vulnérabilité est exploitable à distance et ne nécessite aucune authentification, ni aucune connaissance particulière ou accès à un environnement cible. L’attaquant n’a besoin de connaître que le serveur exécutant Exchange et le compte à partir duquel il souhaite extraire les e-mails.

Non associé à « SolarWinds »

Microsoft l’a compris sous tous les angles ces derniers temps. Ils sont également empêtrés dans le désordre de SolarWinds. Mais selon l’entreprise, l’attaque Exchange n’est pas liée à Solar Winds.

Il n’a pas été annoncé combien d’entreprises ont été affectées par les attaques d’Exchange. On pense également que HAFNIUM n’agit peut-être pas seul et qu’il peut être plus impliqué. Les autorités fédérales ont été mises au courant des attaques d’Exchange.

Lisez l’avertissement publié par Microsoft l’automne dernier concernant un pic de cyberattaques dû à la pandémie.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.