Dans le dernier d’une série de maux de tête liés à la sécurité pour Microsoft, la société averti les clients mardi que les pirates informatiques parrainés par l’État en provenance de Chine exploitent des failles dans l’un de ses produits de messagerie largement utilisés, Échange, afin de cibler les entreprises américaines pour le vol de données.
Dans plusieurs articles de blog récemment publiés, la société a répertorié quatre nouvellement découverts vulnérabilités zero-day associés aux attaques, ainsi que patchs et une liste d’indicateurs de compromis. Les utilisateurs d’Exchange ont été exhortés à mettre à jour pour éviter d’être piratés.
Les chercheurs de Microsoft ont surnommé le principal groupe de hackers derrière les attaques «HAFNIUM», le décrivant comme un «acteur hautement qualifié et sophistiqué» axé sur la conduite d’espionnage via le vol de données. Dans les campagnes précédentes, HAFNIUM a été connu pour cibler une grande variété d’entités à travers les États-Unis, y compris «des chercheurs en maladies infectieuses, des cabinets d’avocats, des établissements d’enseignement supérieur, des entrepreneurs de la défense, des groupes de réflexion sur les politiques et des ONG», ont-ils déclaré.
Dans le cas d’Exchange, ces attaques ont entraîné une exfiltration de données à partir de comptes de messagerie. Échange marche avec les clients de messagerie tels que Microsoft Office, synchronisent les mises à jour avec les appareils et les ordinateurs, et sont largement utilisés par les entreprises, les universités et d’autres grandes organisations.
G / O Media peut obtenir une commission
Les attaques contre le produit se sont déroulées comme suit: les pirates utiliseront zéro jour pour accéder à un serveur Exchange (ils ont également parfois utilisé des informations d’identification compromises). Ils déploieront ensuite généralement un shell Web (un script malveillant), détournant le serveur à distance. Les pirates peuvent alors voler des données d’un réseau associé, y compris des tranches entières d’e-mails. Les attaques ont été menées à partir de serveurs privés basés aux États-Unis, selon Microsoft.
Tom Burt, vice-président de Microsoft Corporate Security, a déclaré mardi que les clients devraient travailler rapidement pour mettre à jour les failles de sécurité associées:
Même si nous avons travaillé rapidement pour déployer une mise à jour pour les exploits Hafnium, nous savons que de nombreux acteurs des États-nations et groupes criminels agiront rapidement pour tirer parti de tous les systèmes non corrigés. L’application rapide des correctifs d’aujourd’hui est la meilleure protection contre cette attaque.
La situation a été initialement portée à l’attention de Microsoft par des chercheurs de deux sociétés de sécurité différentes, Volexity et Dubex. Selon KrebsOnSecurity, Volexity a initialement trouvé des preuves des campagnes d’intrusion le 6 janvier. un article de blog Mardi, les chercheurs de Volexity ont aidé à décomposer à quoi ressemblait l’activité malveillante dans un cas particulier:
Grâce à son analyse de la mémoire système, Volexity a déterminé que l’attaquant exploitait une vulnérabilité de falsification de demande côté serveur (SSRF) zero-day dans Microsoft Exchange (CVE-2021-26855). L’attaquant utilisait la vulnérabilité pour voler le contenu complet de plusieurs boîtes aux lettres d’utilisateurs. Cette vulnérabilité est exploitable à distance et ne nécessite aucune authentification, ni aucune connaissance particulière ni accès à un environnement cible. L’attaquant a seulement besoin de connaître le serveur exécutant Exchange et de quel compte il souhaite extraire les e-mails.
Ces récentes campagnes de piratage – que Microsoft a qualifiées de «limitées et ciblées» par nature – ne sont pas associées aux attaques «SolarWinds» en cours qui le géant de la technologie est également actuellement impliqué dans. La société n’a pas dit combien d’organisations ont été ciblées ou compromises avec succès par la campagne, bien que d’autres acteurs de la menace que HAFNIUM puissent également être impliqués. Microsoft affirme avoir informé les autorités fédérales des incidents.
.
Vous pouvez lire l’article original (en Angais) sur le bloggizmodo.com