Quatre failles zero-day, qui touchaient des serveurs Exchange, ont été détectées par Microsoft, qui a rapidement publié un correctif. Les vulnérabilités étaient exploitées par un groupe de cybercriminels affilié à la Chine.
En toute transparence, Microsoft a alerté sa communauté, mardi 2 mars, sur la montée en puissance d'un groupe, baptisé Hafnium, qui bénéficierait du soutien direct de l'État chinois, mais opérerait hors des murs de l'Empire du Milieu. Les assauts du collectif de cybercriminels, considéré comme « hautement qualifié et sophistiqué »par Microsoft, ont permis d'activement exploiter quatre failles zero-day (c'est-à-dire non découvertes jusqu'à ce jour) dans le but d'attaquer des serveurs Exchange et de dérober des données.
Une compromission en trois étapes
Avant toute chose, il est important de préciser que ces quatre vulnérabilités répondent aux identifiants suivants : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065. Les versions 2013, 2016 et 2019 de Microsoft Exchange Server, toutes trois concernées, ont ainsi bénéficié d'un patch et doivent être mises à jour au plus vite par leurs utilisateurs.
Concernant la faille en elle-même, il s'agit pour les pirates d'opérations en trois étapes majeures. La première consiste à accéder à un serveur Exchange à l'aide d'un mot de passe dérobé, en s'appuyant sur une vulnérabilité zero-day afin de se faire passer pour une personne qui a bien accès au serveur.
Une fois l'accès au compte de messagerie débloqué, les pirates créent une porte dérobée webshell, qui permet de prendre le contrôle à distance du serveur compromis, et de faciliter l'installation de logiciels malveillants. La troisième et dernière étape consiste à mettre à profit cet accès à distance pour procéder à un vol de données, en les compressant et en les exfiltrant en fichiers ZIP par exemple. Ces données peuvent être des informations issues d'une messagerie électronique ou un carnet d'adresses Exchange, qui livre de nombreux détails sur une entreprise et ses utilisateurs.
Hafnium, ce groupe de hackers qui inquiète Microsoft
L'un des hommes forts de la sécurité chez Microsoft, Tom Burt, a consacré un billet sur la menace Hafnium, repérée par le Microsoft Threat Intelligence Center (MSTIC). Il y fait part de son inquiétude globale. « Nous savons que de nombreux acteurs des États-nations et groupes criminels agiront rapidement pour tirer parti de tous les systèmes non corrigés » affirme-t-il.
Parrainé par la Chine, le groupe Hafnium cible aujourd'hui essentiellement des sociétés et autres entités installées aux États-Unis. Son objectif est de dérober des informations clés provenant de secteurs sensibles, comme la santé et les maladies infectieuses, le monde juridique et les cabinets d'avocats, les établissements d'enseignement supérieur, les ONG et think tanks, ainsi que les entrepreneurs du secteur de la défense.
Microsoft explique que, soutenu par l'État chinois, le groupe Hafnium mène ses opérations depuis des serveurs privés virtuels loués directement aux USA. Le géant américain affirme pour le moment ne détenir aucune preuve d'agissements d'Hafnium sur d'autres produits Microsoft ou contre des consommateurs individuels. L'entreprise estime que le groupe ne vise, à sa connaissance donc, que le monde professionnel, client majeur des serveurs Exchange. Pas de lien non plus avec les attaques SolarWinds, selon Microsoft.
Source : Microsoft
