Les patchs publiés il y a quelques jours par Microsoft pour contrer la menace du groupe Hafnium n'ont pas été un remède suffisant pour colmater certaines vulnérabilités.
L'inquiétude grandit aux États-Unis, où la menace de quatre failles zero-day qui touchaient des serveurs Exchange (et la messagerie Outlook par ricochet) est en train de prendre une ampleur très importante, jusqu'à donner des frissons à Washington, où l'on craint un scandale de type SolarWinds. Malgré les correctifs apportés par Microsoft mardi dernier, d'autres systèmes non-corrigés sont ciblés, exposant des dizaines de milliers d'organisations basées outre-Atlantique et ailleurs.
Les correctifs déployés par Microsoft sans effet sur les systèmes déjà compromis
Plusieurs failles zero-day découvertes dans des serveurs Microsoft Exchange ont été activement exploitées par un acteur qui serait soutenu par l'État chinois, Hafnium. Ces vulnérabilités, qui permettent de créer une porte dérobée et d'avoir ainsi librement accès aux données et informations des messageries électroniques (grâce à une webshell, qui permet de prendre le contrôle d'un appareil à distance), ont chacune reçu un correctif le mardi 2 mars.
Mais les efforts de Microsoft n'ont pas été suffisants, et le mal semble en réalité être bien plus profond. Dimanche, la Maison-Blanche elle-même a appelé les opérateurs de réseaux informatiques à faire le nécessaire pour déceler toute menace ou intrusion de leurs systèmes, des suites de ces failles.
Selon Washington, les patchs mis en ligne n'ont pas résolu le problème. « Il s'agit d'une menace active toujours en développement, et nous exhortons les opérateurs de réseau à la prendre très au sérieux », indique le bureau ovale. D'autant plus que les correctifs n'ont pas eu d'effet sur les systèmes déjà compromis, qui ne sont pas désinfectés. Plusieurs dizaines de milliers d'organisations, aux États-Unis mais aussi dans le reste du monde, auraient été frappées par ce nouveau piratage de masse.
Plusieurs groupes cybercriminels auraient pu exploiter les failles
À la base, le groupe derrière l'exploitation de ces vulnérabilités, Hafnium, ne ciblait que des entités bien particulières, surtout celles issues de secteurs sensibles, comme la santé, le juridique, la recherche ou les ONG. Mais Microsoft a communiqué de façon alarmante, peu avant le week-end, expliquant « constater une utilisation accrue de ces vulnérabilités dans les attaques ciblant des systèmes non corrigés par plusieurs acteurs malveillants au-delà de Hafnium ».
Selon les diverses sources et professionnels consultés, plusieurs autres groupes peuvent déjà avoir exploité ces vulnérabilités, et certains collectifs spécialisés dans le ransomware pourraient peut-être bientôt entrer dans le danse, pour le plus grand malheur des victimes, dans ce qui semble être nouvelle affaire cybercriminelle de masse.
Ce qu'il faut retenir 📝
Pour bien comprendre la situation, il faut savoir que les vulnérabilités ont effectivement été corrigées, oui. Cela signifie qu'il n'est plus possible de les exploiter en l'état. Pour autant, chaque entité touchée (et il y en aurait des milliers) avant l'application du correctif, reste exposée. Ces organisations-là doivent manuellement supprimer les webshells et logiciels malveillants installés, si elles veulent définitivement se débarrasser de la menace. Et ceci ne peut se faire qu'en rebâtissant totalement le serveur frappé, ce qui ne sera pas sans conséquence sur les entreprises intéressées.
Source : CNN