ESET Research fait de nouvelles révélations sur les récentes vulnérabilités de Microsoft Exchange, qui provoquent l'inquiétude de la Maison-Blanche.
Les vulnérabilités des serveurs Microsoft Exchange n'en finissent plus de faire parler. À l'instar de l'affaire SolarWinds, les (mauvaises) nouvelles nous parviennent jour après jour, et voilà que l'on apprend, ce jeudi 11 mars, que les premiers groupes pirates derrière l'exploitation de ces failles ont été identifiés. Par ailleurs, plus de 5 000 serveurs de messagerie basés dans plus de 115 pays auraient été ciblés par les activités malveillantes cybercriminelles.
Hafnium, loin d'être le seul à s'être engouffré dans les failles
Avant toute chose, un petit rappel des faits s'impose. Le 2 mars 2021, Microsoft a publié quatre correctifs qui n'étaient pas à l'ordre du jour, pour corriger tout autant de vulnérabilités qui permettaient aux hackers de lancer une attaque en trois étapes pour s'emparer de n'importe quel serveur Exchange :
- L'accès au serveur Exchange ;
- la création d'un webshell, ce script ou programme malveillant qui permet de prendre le contrôle d'un appareil à distance par exécution de code ;
- l'accès permettant le vol de données du réseau, le tout sans même avoir les identifiants d'un compte valide.
Si l'environnement cyber est unanime pour conseiller l'installation des correctifs le plus rapidement possible pour tout client des versions 2013, 2016 et 2019 des serveurs Exchange déployés dans l'infrastructure (car les versions Cloud d'Exchange sont épargnées, comme le confirme Kaspersky), les ennuis ne sont pour autant pas finis. Car si Microsoft a d'abord attribué l'exploitation des vulnérabilités au groupe Hafnium, environ 30 000 organisations (rien qu'aux États-Unis), et des milliers d'autres dans le monde, ont été piratées du fait de ces quatre failles. De nombreux autres groupes exploitaient eux aussi les vulnérabilités, avant même la publication des patchs.
Des groupes majoritairement intéressés par l'espionnage
ESET Research aurait détecté, ces derniers jours, des webshells sur plus de 5 000 serveurs de messagerie. Certains d'entre eux seraient reliés à d'importantes organisations, comme l'Autorité bancaire européenne. Et alors que les premiers signalements de ces vulnérabilités remontent au 5 janvier 2021, les chercheurs d'ESET ont identifié d'autres groupes.
Tous semblent être motivés par l'espionnage, tandis que l'un d'eux pourrait être lié à une campagne d'extraction de cryptomonnaie. Mais comme nous l'affirmions dans un précédent article sur Clubic, les opérateurs de ransomwares ne devraient pas tarder à pointer le bout de leur nez.
Parmi les dix autres groupes identifiés, outre Hafnium, Tick a pu compromettre le serveur web d'une entreprise basée en Asie de l'Est. LuckyMouse, lui, a sévi au sein d'une entité gouvernementale au Moyen-Orient. Tous deux en exploitant l'une des failles avant la publication des correctifs. Même chose pour Calypso, qui a compromis des serveurs de messagerie d'entités gouvernementales en Moyen-Orient et en Amérique du Sud. WGroupe Winnti a pour sa part ciblé une compagnie pétrolière et une entreprise d'équipements de construction en Asie. DLTMiner reste le seul à être lié à une campagne d'extraction de cryptomonnaie.
Les victimes ne manquent pas et la liste devrait s'allonger au fur et à mesure des compromissions découvertes. « En cas de compromission, les administrateurs doivent supprimer les webshells, modifier les identifiants et rechercher toute activité malveillante supplémentaire. Cet incident nous rappelle que les applications complexes telles que Microsoft Exchange ou SharePoint ne doivent pas être ouvertes directement sur Internet », indique Matthieu Faou, qui dirige les études d'ESET sur l'incident.
Source : ESET
