Patcher et investiguer

Vaste attaque contre les serveurs Exchange, des dizaines de milliers d’organisations touchées

Une vaste attaque en augmentation cible les serveurs Exchange on premise de milliers d’organisations, notamment aux Etats-Unis. Outre l’accès aux e-mails, les pirates en profitent pour installer un malware leur assurant un accès sur la durées aux environnements.

Plusieurs dizaines de milliers d’organisations américaines sont actuellement visées par une vaste attaque ciblant leurs serveurs Exchange. Les pirates exploitent une vulnérabilité dans les versions de Microsoft Exchange Server 2013, 2016 et 2019. Seules les installations d’Exchange sur site ou hybrides seraient vulnérables et Microsoft a publié quatre patches pour y remédier. Selon Microsoft Threat Intelligence Center (MSTIC), le groupe de hackers étatique chinois Hafnium serait l’auteur de l’attaque qui n’est aucunement liée à SolarWinds. Les assauts auraient démarré en janvier déjà, selon le spécialiste Volexity. L’agence de la cybersécurité américaine a demandé aux administrations fédérales de déconnecter leurs serveurs tant qu’ils ne sont pas mis à jour. La porte-parole de la Maison Blanche Jen Psaki a déclaré à la presse que les vulnérabilités pourraient avoir un impact de grande portée, vu la popularité du système Exchange.

Depuis la publication des correctifs, de nombreux experts constatent par ailleurs une recrudescence des attaques. «Il y a au moins cinq clusters d’activité différents qui semblent exploiter les vulnérabilités», confie Katie Nickels de Red Canary au site MIT Technology Review. Selon KrebsOnSecurity, 30’000 organisations américaines ont déjà été piratées, tandis qu’un spécialiste estime que les hackers ont pris le contrôle de centaines de milliers de serveurs Exchange dans le monde. Kaspersky constate également une augmentation des attaques, la plupart ciblant des organisations en Allemagne et 4,81% en Suisse.

Outre l’accès aux e-mails, ce qui inquiète le plus les spécialistes, c’est que les hackers installent un malware une fois qu’ils ont pénétré les systèmes. Protégé par un mot de passe ce dernier leur permet d’accéder dans la durée à l’environnement de la victime. Ainsi, il ne suffit pas pour les organisations de patcher leurs systèmes, il faut aussi vérifier si un malware n’a pas été installé dans l’intervalle. Microsoft a publié des outils pour investiguer si le système est compromis ainsi que des consignes pour les entreprises qui ne sont pas à même d’appliquer rapidement les correctifs.

Webcode
DPF8_209501