Les failles Microsoft Exchange auraient permis de pirater des « centaines de milliers » de serveurs
Le 08 mars 2021 à 08h17
2 min
Internet
Internet
Au moins 30 000 organismes américains (dont un nombre important de petites entreprises, villes et gouvernements locaux) ont été piratés ces derniers jours par une unité chinoise de cyberespionnage « inhabituellement agressive », révèle KrebsOnSecurity.
Le 2 mars, Microsoft avait publié des mises à jour de sécurité d'urgence pour combler quatre failles 0-day dans les versions d'Exchange Server 2010 à 2019 que les pirates utilisaient activement pour siphonner les communications par courrier électronique.
S'exprimant sous couvert d'anonymat, deux experts en cybersécurité – qui ont informé les conseillers américains de la sécurité nationale de l'attaque – ont déclaré à KrebsOnSecurity que le groupe de piratage chinois présumé responsable avait pris le contrôle de « centaines de milliers » de serveurs Microsoft Exchange dans le monde.
Microsoft a déclaré que les failles d'Exchange étaient ciblées par une équipe de piratage opérant depuis la Chine – surnommée « Hafnium » – et déclaré que le groupe avait mené des attaques ciblées sur des systèmes de messagerie utilisés par de nombreux secteurs industriels, y compris des chercheurs en maladies infectieuses, des cabinets d'avocats, établissements d'enseignement, marchands d'armes, think tanks politiques et ONG.
Steven Adair, le président de Volexity, la société qui a identifié les vulnérabilités, estime que « même si vous avez mis à jour les correctifs, il y a toujours de fortes chances qu'il y ait un shell Web sur votre serveur. La vérité est que si vous exécutez Exchange et que vous n’avez pas encore corrigé cela, il y a de très fortes chances que votre organisation soit déjà compromise »
Des chercheurs en sécurité ont publié plusieurs outils pour détecter les serveurs vulnérables. L'un d’entre eux, un script de Kevin Beaumont de Microsoft, est disponible sur Github.
Le 08 mars 2021 à 08h17
Commentaires (20)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 08/03/2021 à 09h34
Que doit-on en conclure? Des “centaines de milliers” de serveurs corrompus => des centaines de To des données (personnelles?) dans la nature? => Des millions de login/MDP compromis?
J’imagine que c’est trop tôt pour le dire… Quels objectifs derrière une attaque de cette ampleur?
Le 08/03/2021 à 09h45
A priori des “communications électroniques” donc surtout des adresses e-mail, des noms et prénoms, et après tout dépends du contenu des dites communications !
Je comprends mieux le pourquoi on recevait en tentative de phishing des mails qui ressemblaient trait pour trait à des conversations que nous avions eu avec des prestataires. Soit ils avaient eu accès aux mails car l’utilisateur s’était fait pirater directement, soit ils avaient eu accès aux serveurs de mails et on ne savait pas comment, et étrangement ils étaient tous sous Exchange en auto hébergement.
Le 08/03/2021 à 12h28
voir vague EMOTET l’anssi a bien expliqué dans un dossier le problème.
en fait soit un utilisateur ou une boite mail s’est fait piratée et tous ses anciens mails ont été réutilisés
soit carrément un des prestataires s’est fait piraté (c’est arrivé chez nous chez des petits prestataires)
Le 08/03/2021 à 10h35
En même temps, faire de l’hébergement avec Microsoft
Le 08/03/2021 à 11h14
Le nombre de login / mot de passe, infos confidentielles (scan de documents en tout genre…) qui sont contenus “dans” les emails stockés dans les boites électroniques (dont le dossier “courriers envoyés” souvent oublié lors des nettoyages)… il y a de quoi faire !
Le 08/03/2021 à 12h05
Et oui, ça va être la fête 😅
Le 08/03/2021 à 12h23
“Des chercheurs en sécurité ont publié plusieurs outils pour détecter les serveurs vulnérables. L’un d’entre eux, un script de Kevin Beaumont de Microsoft, est disponible sur Github.”
Lancer un script écrit par un Kevin… ?
J’y réfléchirais à deux fois, au moins…
Le 09/03/2021 à 09h36
Méchant ! Pas de discrimination contre le Kévin ! Halte à la Kévinophobie !!!
Le 08/03/2021 à 12h38
Ca apprendra à toutes les boites de ne pas mettre tous leurs œufs dans le même panier.
Ce n’est pas parce qu’on utilise Office et Outlook comme lecteur d’email qu’il faut forcément utiliser du Exchange partout et pour tous.
Utiliser des solutions autres, et notamment mettre en place des emails chiffrés n’est pas un luxe pour les entreprises et ça leur éviterait ce genre de déconvenues.
Avec chiffrement zero knowledge, la surface d’attaque serait bien réduite ainsi que le risque.
Le 08/03/2021 à 13h33
gaffe a vos sous : https://news.yahoo.com/european-banking-authority-hit-microsoft-115850435.html
Le 08/03/2021 à 14h03
https://www.eba.europa.eu/cyber-attack-european-banking-authority-update-2
Le 08/03/2021 à 14h25
Bien joué les chinois, et c’est un rude coup pour Microsoft et son écosystème et je l’espère un réveil pour pas mal d’entreprises qui restent dans l’optique : avec Microsoft on est sûr que ça marche sans se poser d’autres questions.
Le 08/03/2021 à 14h32
Sincèrement, je préfère un Microsoft, qui fait un patch 0day, et qui mettra à jour ses propres infra en priorité, qu’un petit hébergeur qui laisse pourrir son infra.
Je ne compte plus le nombre de serveur mails que j’ai migré vers du office365, et qui étaient basés sur des serveurs linux non mis à jours depuis 15ans. La réponse est toujours la même “on pensait qu’ils géraient vu le prix qu’on paye tous les ans”.
Le 09/03/2021 à 09h53
C’est clair. Sans compter que même sur les autres serveurs mails, même à jour, ça n’empêche pas de trouver des failles 0day. De toute façon, le mail c’est le moyen de communication le plus pratique, mais par défaut aussi le moins sûr…
Le 09/03/2021 à 10h35
La plupart des infras sont assez obsolètes effectivement seulement je remarque d’après mes passages dans différents SI que les Linux sont relativement robustes et peu sujets aux attaques, et je parle d’infra mails de millions d’utilisateurs.
Le 09/03/2021 à 10h48
Toute infra est assez robustes si elles est maintenue, peu importe la techno (Crosoft ou Nux). Dans de grosses infra le soucis est moins présent car toute attaque pouvant être dramatique, elles sont généralement up to date et méga surveillées.
Mais bon le risque zéro n’existant pas, on peut toujours passer dans une faille inter sidérale.
L’exemple que j’ai en tête immédiatement est la faille OpenSSH il y a 5ans.
Le 09/03/2021 à 11h06
Alors les grosses infras (+1000 serveurs) avec la moitié des serveurs pas patché depuis 10 ans j’en ai pas mal en tête mais je remarque que de manière générale, les Unix sont plus résistants. Je pense qu’il y a une meilleure maitrise des privilèges mais aussi que la diversité des composants Linux (distrib, programmes etc.) complique fortement la tâche des attaquants.
Le 09/03/2021 à 11h17
Je ne pensais pas à une telle ampleur dans les “non mis à jour”
Le 09/03/2021 à 11h27
Y’a quelques semaines encore j’ai décomissionné des sunOS de 2001 qui avaient un rôle fondamental dans l’archi et que tout le monde avait oublié
Le 09/03/2021 à 09h42
Après la méga-fuite de SolarWinds, ça commence à faire beaucoup…
https://www.cnet.com/news/solarwinds-not-the-only-company-used-to-hack-targets-tech-execs-say-at-hearing/