0day : Microsoft alerte pour une cyberattaque d'un groupe lié à la Chine

Le par Jérôme G.  |  5 commentaire(s)
cybersecurite

Microsoft divulgue une nouvelle cyberattaque par un groupe agissant avec le soutien d'un État. Un groupe dénommé Hafnium et lié à la Chine qui exploite des vulnérabilités dans le serveur de messagerie Exchange Server.

Dans le cadre d'une publication hors cycle - et donc en urgence - de mises à jour de sécurité pour Microsoft Exchange Server 2013, 2016 et 2019, Microsoft informe que quatre vulnérabilités font l'objet d'une exploitation dans une attaque active.

Les vulnérabilités CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065 sont utilisées dans une chaîne d'attaque.

" L'attaque initiale nécessite la possibilité d'établir une connexion non fiable au port 443 du serveur Exchange. Il est possible de s'en protéger en limitant les connexions non fiables ou en mettant en place un VPN pour séparer le serveur Exchange de tout accès externe ", écrit Microsoft.

Après exploitation des vulnérabilités, l'attaquant est en mesure de déployer des web shell sur le serveur compromis. De quoi obtenir un accès et contrôle à distance depuis une interface, dérober des données et procéder à diverses actions malveillantes.

Microsoft pointe du doigt un groupe chinois

Microsoft fait plus qu'évoquer un attaquant en donnant le nom d'un groupe baptisé Hafnium. Basé en Chine et avec a priori le soutien du gouvernement de Pékin, il opérerait principalement par l'intermédiaire de serveurs privés virtuels loués aux États-Unis.

securite

Le groupe Hafnium est présenté par Microsoft comme un acteur " hautement qualifié et sophistiqué " dont les cibles pour de l'exfiltration de données sont essentiellement aux États-Unis, parmi lesquelles des chercheurs en maladies infectieuses, cabinets d'avocats, établissements d'enseignement supérieur, entreprises du secteur de la défense ou encore des ONG.

Pour la cyberattaque avec des exploits qui étaient auparavant inconnus, Microsoft cite seulement des entreprises utilisant Exchange Server sur site. Le groupe de Redmond a lui même été alerté par des chercheurs en sécurité de Volexity d'après qui les attaques auraient débuté dès le 6 janvier dernier.

" Même si nous avons travaillé rapidement pour déployer une mise à jour pour les exploits Hafnium, nous savons que de nombreux acteurs d'États-nations et groupes criminels agiront rapidement pour tirer parti des systèmes sans les correctifs ", prévient Microsoft. Il ne faut donc pas attendre patiemment le prochain Patch Tuesday…


  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Narcos Hors ligne VIP icone 21834 points
Le #2123686
On soulignera jamais assez l'importance de la mise en place d'un VPN comme séparateur...
TheDarkgg Hors ligne Vénéré icone 2564 points
Le #2123688
Oui j'ai justement reçu un mail de mon entreprise expliquant qu'il y a aura des petites perturbations sur le réseau pour cause de patch en urgence d'une faille MS ...
Anonyme
Le #2123709
Narcos a écrit :

On soulignera jamais assez l'importance de la mise en place d'un VPN comme séparateur...


Si le VPN est si utile.
Ne retrouvons-nous pas dans la meme logique qu'il fallait, autrefois, vis à vis de l'anti-virus ? Un logiciel qui balance toutes nos données
Narcos Hors ligne VIP icone 21834 points
Le #2123776
JOJOlapinNo2 a écrit :

Narcos a écrit :

On soulignera jamais assez l'importance de la mise en place d'un VPN comme séparateur...


Si le VPN est si utile.
Ne retrouvons-nous pas dans la meme logique qu'il fallait, autrefois, vis à vis de l'anti-virus ? Un logiciel qui balance toutes nos données


il t'incombe de choisir ton éditeur.

N'importe quel logiciel ou application peut siphonner tes données...mais des moyens existent pour les protéger.
Narcos Hors ligne VIP icone 21834 points
Le #2123777
TheDarkgg a écrit :

Oui j'ai justement reçu un mail de mon entreprise expliquant qu'il y a aura des petites perturbations sur le réseau pour cause de patch en urgence d'une faille MS ...


MS peut avoir bon dos aussi !!
icone Suivre les commentaires
Poster un commentaire