Microsoft Corp. a publié aujourd’hui des mises à jour logicielles pour combler quatre failles de sécurité que les attaquants utilisaient pour piller les communications par e-mail des entreprises qui utilisent son Serveur d’échange des produits. La société affirme que les quatre failles sont activement exploitées dans le cadre d’une chaîne d’attaque complexe déployée par un groupe de cyberespionnage chinois non identifié auparavant.
Le géant du logiciel publie généralement des mises à jour de sécurité le deuxième mardi de chaque mois, mais il s’écarte parfois de ce calendrier lorsqu’il traite des attaques actives qui ciblent des vulnérabilités nouvellement identifiées et graves dans ses produits.
Les correctifs publiés aujourd’hui corrigent des problèmes de sécurité dans Microsoft Exchange Server 2013, 2016 et 2019. Microsoft a déclaré que son Échange en ligne service – essentiellement un e-mail hébergé pour les entreprises – n’est pas affecté par ces failles.
Microsoft a crédité les chercheurs de Reston, en Virginie, basés Volexité pour avoir signalé les attentats. Volexité Président Steven Adair a déclaré à BreachTrace qu’il avait repéré les attaques pour la première fois le 6 janvier 2021.
Adair a déclaré que bien que les exploits utilisés par le groupe aient nécessité de grandes compétences pour être développés, ils nécessitent peu de savoir-faire technique et peuvent donner à un attaquant un accès facile à tous les e-mails d’une organisation si leurs serveurs Exchange vulnérables sont directement exposés à Internet. .
« Ces failles sont très faciles à exploiter », a déclaré Adair. « Vous n’avez besoin d’aucune connaissance particulière avec ces exploits. Vous venez de vous présenter et de dire « Je voudrais entrer par effraction et lire tous leurs e-mails ». C’est tout ce qu’on peut en dire. »
Microsoft affirme que les failles sont utilisées par un groupe d’espionnage chinois jusque-là inconnu qui a été surnommé « Hafnium», qui est connu pour lancer ses attaques en utilisant des sociétés d’hébergement basées aux États-Unis.
« Hafnium cible principalement des entités aux États-Unis dans un certain nombre de secteurs industriels, notamment les chercheurs en maladies infectieuses, les cabinets d’avocats, les établissements d’enseignement supérieur, les sous-traitants de la défense, les groupes de réflexion sur les politiques et les ONG », a déclaré Microsoft. « HAFNIUM a déjà compromis les victimes en exploitant les vulnérabilités des serveurs connectés à Internet. Une fois qu’ils ont eu accès à un réseau victime, HAFNIUM exfiltre généralement les données vers des sites de partage de fichiers comme MEGA. »
Selon Microsoft, des attaquants Hafnium ont été observés combinant les quatre failles zero-day pour cibler des organisations exécutant des produits Exchange Server vulnérables.
CVE-2021-26855 est une faille de « falsification de requête côté serveur » (SSRF), dans laquelle un serveur (dans ce cas, un serveur Exchange sur site) peut être amené à exécuter des commandes qu’il n’aurait jamais dû être autorisé à exécuter, telles que l’authentification en tant que le serveur Exchange lui-même.
Les assaillants ont utilisé CVE-2021-26857 exécuter le code de leur choix sous le compte « système » sur un serveur Exchange ciblé. Les deux autres failles zero-day — CVE-2021-26858 et CVE-2021-27065 — pourrait permettre à un attaquant d’écrire un fichier sur n’importe quelle partie du serveur.
Après avoir exploité ces vulnérabilités pour obtenir un accès initial, les opérateurs Hafnium ont déployé des shells Web sur le serveur compromis, a déclaré Microsoft. Les shells Web sont essentiellement des portes dérobées logicielles qui permettent aux attaquants de voler des données et d’effectuer des actions malveillantes supplémentaires qui conduisent à un compromis supplémentaire.
Ni Microsoft ni Volexity n’ont connaissance d’un code accessible au public qui permettrait à d’autres cybercriminels d’exploiter ces vulnérabilités Exchange. Mais étant donné que ces attaques sont désormais largement répandues, il ne faudra peut-être que quelques jours avant que le code d’exploitation ne soit accessible au public en ligne.
Microsoft a souligné que les exploits détaillés aujourd’hui n’étaient en aucun cas liés aux attaques distinctes liées à SolarWinds. « Nous continuons de ne voir aucune preuve que l’acteur derrière SolarWinds ait découvert ou exploité une vulnérabilité dans les produits et services Microsoft », a déclaré la société.
Lecture complémentaire :
Rédaction de Microsoft sur les nouvelles cyberattaques des États-nations Hafnium
Avis technique Microsoft sur les quatre failles d’Exchange Server