60 000 organisations américaines auraient été victimes de hackers chinois via Exchange et des vulnérablités Zero Day. La menace est active, et les entreprises, seules touchées, doivent s’en protéger. Conseils.
Nous vous avertissions le 3 mars au travers d’un article Microsoft exhorte ses clients Exchange à mettre à jour la messagerie suite à une faille exploitée par des hackers chinois (solutions-numeriques.com), alors que Microsoft publiait des correctifs concernant de nouvelles vulnérabilités de type Zero Day. Les serveurs de messagerie Exchange version 2010, 2013, 2016 et 2019 sont affectés par ces failles, qui peuvent permettre à un attaquant de prendre le contrôle du domaine Active Directory.
Brian Krebs, un spécialiste de la cybersécurité, a rapporté depuis sur son blog KrebsonSecurity qu' »au moins 30 000 organisations (…) ont été piratées ces derniers jours par une unité chinoise de cyberespionnage inhabituellement agressive, qui se
concentre sur le vol d’emails, d’après des sources multiples ». Selon lui, des outils malveillants sont présents « chez des centaines de milliers d’organisations
dans le monde ». Microsoft évoque quant à lui 60 000 victimes, en majorité des PME, mais de grandes organisation le seraient également, dont des banques. L’Autorité bancaure euroépenne a elle-même subi une attaque : L’Autorité bancaire européenne victime de l’attaque informatique contre Exchange (solutions-numeriques.com).
Hafnium agit en trois étapes
Tom Burt, Corporate Vice President, Customer Security & Trust de Microsoft, avait avertit dans un billet de blog : » Nous partageons des informations sur un acteur de la menace parrainé par un État identifié par le Microsoft Threat Intelligence Center (MSTIC) et que nous appelons Hafnium. Hafnium opère depuis la Chine (…). C’est un acteur hautement qualifié et sophistiqué. »
Tom Burt a expliqué que Hafnium a récemment lancé un certain nombre d’attaques utilisant des exploits jusque-là inconnus ciblant le logiciel Exchange Server sur site. « À ce jour, Hafnium est le principal acteur que nous avons vu utiliser ces exploits. »
Les attaques comprennent trois étapes, a-t-il détaillé. D’abord un accès à un serveur Exchange avec des mots de passe volés ou en utilisant des vulnérabilités non découvertes. Ensuite, le contrôle à distance du serveur compromis. Enfin, l’utilisation de cet accès à distance – exécuté à partir de serveurs privés basés aux États-Unis – sert à voler des données sur le réseau d’une organisation.
Aux Etats-Unis, la Maison Blanche a indiqué que la menace était « active », et « pourrait avoir un impact très étendu ».
Comment se protéger ?
L’éditeur iTrust recommande de limiter les connexions non approuvées au port 443, ou de configurer un VPN pour séparer le serveur Exchange de l’accès externe. Il recommande également :
- De déconnecter les serveurs Exchange exposés sur Internet
- D’appliquer les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange (exposés sur Internet, mais aussi internes)
- D’analyser les serveurs Exchange à l’aide des indicateurs de compromission publiés par Microsoft. Réalisez dans un premier temps une recherche d’antécédents dans les logs des serveurs web de Outlook Web Access afin de déceler d’éventuelles requêtes de type POST vers /owa/auth/
Current/themes/resources/ ; - En cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.
- De scanner régulièrement votre réseau.
- De ne pas laisser des serveurs exposés sans protection.
