Au moins 30 000 organismes américains (dont un nombre important de petites entreprises, villes et gouvernements locaux) ont été piratés ces derniers jours par une unité chinoise de cyberespionnage « inhabituellement agressive », révèle KrebsOnSecurity.
Le 2 mars, Microsoft avait publié des mises à jour de sécurité d'urgence pour combler quatre failles 0-day dans les versions d'Exchange Server 2010 à 2019 que les pirates utilisaient activement pour siphonner les communications par courrier électronique.
S'exprimant sous couvert d'anonymat, deux experts en cybersécurité – qui ont informé les conseillers américains de la sécurité nationale de l'attaque – ont déclaré à KrebsOnSecurity que le groupe de piratage chinois présumé responsable avait pris le contrôle de « centaines de milliers » de serveurs Microsoft Exchange dans le monde.
Microsoft a déclaré que les failles d'Exchange étaient ciblées par une équipe de piratage opérant depuis la Chine – surnommée « Hafnium » – et déclaré que le groupe avait mené des attaques ciblées sur des systèmes de messagerie utilisés par de nombreux secteurs industriels, y compris des chercheurs en maladies infectieuses, des cabinets d'avocats, établissements d'enseignement, marchands d'armes, think tanks politiques et ONG.
Steven Adair, le président de Volexity, la société qui a identifié les vulnérabilités, estime que « même si vous avez mis à jour les correctifs, il y a toujours de fortes chances qu'il y ait un shell Web sur votre serveur. La vérité est que si vous exécutez Exchange et que vous n’avez pas encore corrigé cela, il y a de très fortes chances que votre organisation soit déjà compromise »
Des chercheurs en sécurité ont publié plusieurs outils pour détecter les serveurs vulnérables. L'un d’entre eux, un script de Kevin Beaumont de Microsoft, est disponible sur Github.
Commentaires (20)
#1
Que doit-on en conclure? Des “centaines de milliers” de serveurs corrompus => des centaines de To des données (personnelles?) dans la nature? => Des millions de login/MDP compromis?
J’imagine que c’est trop tôt pour le dire… Quels objectifs derrière une attaque de cette ampleur?
#1.1
A priori des “communications électroniques” donc surtout des adresses e-mail, des noms et prénoms, et après tout dépends du contenu des dites communications !
Je comprends mieux le pourquoi on recevait en tentative de phishing des mails qui ressemblaient trait pour trait à des conversations que nous avions eu avec des prestataires. Soit ils avaient eu accès aux mails car l’utilisateur s’était fait pirater directement, soit ils avaient eu accès aux serveurs de mails et on ne savait pas comment, et étrangement ils étaient tous sous Exchange en auto hébergement.
#1.2
voir vague EMOTET l’anssi a bien expliqué dans un dossier le problème.
en fait soit un utilisateur ou une boite mail s’est fait piratée et tous ses anciens mails ont été réutilisés
soit carrément un des prestataires s’est fait piraté (c’est arrivé chez nous chez des petits prestataires)
#2
En même temps, faire de l’hébergement avec Microsoft
#3
Le nombre de login / mot de passe, infos confidentielles (scan de documents en tout genre…) qui sont contenus “dans” les emails stockés dans les boites électroniques (dont le dossier “courriers envoyés” souvent oublié lors des nettoyages)… il y a de quoi faire !
#3.1
Et oui, ça va être la fête 😅
#4
“Des chercheurs en sécurité ont publié plusieurs outils pour détecter les serveurs vulnérables. L’un d’entre eux, un script de Kevin Beaumont de Microsoft, est disponible sur Github.”
Lancer un script écrit par un Kevin… ?
J’y réfléchirais à deux fois, au moins…
#4.1
Méchant ! Pas de discrimination contre le Kévin ! Halte à la Kévinophobie !!!
#5
Ca apprendra à toutes les boites de ne pas mettre tous leurs œufs dans le même panier.
Ce n’est pas parce qu’on utilise Office et Outlook comme lecteur d’email qu’il faut forcément utiliser du Exchange partout et pour tous.
Utiliser des solutions autres, et notamment mettre en place des emails chiffrés n’est pas un luxe pour les entreprises et ça leur éviterait ce genre de déconvenues.
Avec chiffrement zero knowledge, la surface d’attaque serait bien réduite ainsi que le risque.
#6
gaffe a vos sous : https://news.yahoo.com/european-banking-authority-hit-microsoft-115850435.html
#6.1
https://www.eba.europa.eu/cyber-attack-european-banking-authority-update-2
#6.2
Bien joué les chinois, et c’est un rude coup pour Microsoft et son écosystème et je l’espère un réveil pour pas mal d’entreprises qui restent dans l’optique : avec Microsoft on est sûr que ça marche sans se poser d’autres questions.
#6.3
Sincèrement, je préfère un Microsoft, qui fait un patch 0day, et qui mettra à jour ses propres infra en priorité, qu’un petit hébergeur qui laisse pourrir son infra.
Je ne compte plus le nombre de serveur mails que j’ai migré vers du office365, et qui étaient basés sur des serveurs linux non mis à jours depuis 15ans. La réponse est toujours la même “on pensait qu’ils géraient vu le prix qu’on paye tous les ans”.
#6.4
C’est clair. Sans compter que même sur les autres serveurs mails, même à jour, ça n’empêche pas de trouver des failles 0day. De toute façon, le mail c’est le moyen de communication le plus pratique, mais par défaut aussi le moins sûr…
#6.5
La plupart des infras sont assez obsolètes effectivement seulement je remarque d’après mes passages dans différents SI que les Linux sont relativement robustes et peu sujets aux attaques, et je parle d’infra mails de millions d’utilisateurs.
#6.6
Toute infra est assez robustes si elles est maintenue, peu importe la techno (Crosoft ou Nux). Dans de grosses infra le soucis est moins présent car toute attaque pouvant être dramatique, elles sont généralement up to date et méga surveillées.
Mais bon le risque zéro n’existant pas, on peut toujours passer dans une faille inter sidérale.
L’exemple que j’ai en tête immédiatement est la faille OpenSSH il y a 5ans.
#6.7
Alors les grosses infras (+1000 serveurs) avec la moitié des serveurs pas patché depuis 10 ans j’en ai pas mal en tête mais je remarque que de manière générale, les Unix sont plus résistants. Je pense qu’il y a une meilleure maitrise des privilèges mais aussi que la diversité des composants Linux (distrib, programmes etc.) complique fortement la tâche des attaquants.
#6.8
Je ne pensais pas à une telle ampleur dans les “non mis à jour”
#6.9
Y’a quelques semaines encore j’ai décomissionné des sunOS de 2001 qui avaient un rôle fondamental dans l’archi et que tout le monde avait oublié
#7
Après la méga-fuite de SolarWinds, ça commence à faire beaucoup…
https://www.cnet.com/news/solarwinds-not-the-only-company-used-to-hack-targets-tech-execs-say-at-hearing/