Dans le cadre d'une publication en urgence de correctifs de sécurité, Microsoft a révélé le 2 mars l'existence de plusieurs exploits 0day utilisés pour attaquer des serveurs de messagerie Exchange en version 2013, 2016 et 2019.
Les solutions Exchange Online ne sont pas affectées. L'attaque cible des entreprises ayant recours à Exchange Server sur site. L'exploitation des vulnérabilités (une chaîne d'attaque) permet le déploiement de web shell sur les serveurs compromis.
Sur GitHub, Microsoft publie un script afin d'analyser les fichiers log d'Exchange et rechercher des indicateurs de compromission associés aux quatre vulnérabilités de sécurité exploitées. Cet outil reprend le nom de ProxyLogon qui a été donné par des chercheurs en sécurité de Devcore pour les exploits (Exchange Proxy Architecture et mécanisme Logon).
? ICYMI - We issued Emergency Directive 21-02
— Cybersecurity and Infrastructure Security Agency (@CISAgov) March 7, 2021
Microsoft Exchange on-premises products have serious vulnerabilities that could enable an attacker to gain control of an entire enterprise network. Utilize our resources to protect your networks: https://t.co/I0MLDGjw61 pic.twitter.com/zCdPuQGMMR
Sous l'égide de la Sécurité intérieure des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) recommande aux organisations d'exécuter le script Test-ProxyLogon.ps1 le plus rapidement possible pour les aider à déterminer si leurs systèmes sont compromis.
Une menace active
Selon la cybersécurité américaine, l'exploitation des vulnérabilités est généralisée au niveau national et international. À Wired, un chercheur en sécurité impliqué dans l'enquête a confié sous couvert d'anonymat que le nombre de serveurs Exchange piratés est de plus de 30 000 aux États-Unis, et des centaines de milliers dans le monde.
Lors d'un point presse vendredi, la porte-parole de la Maison-Blanche a souligné une menace active. " Tous ceux qui exécutent ces serveurs - gouvernement, secteur privé, universités - doivent agir maintenant pour les corriger (ndlr : les vulnérabilités de sécurité en appliquant les correctifs de Microsoft). "
Jen Psaki a ajouté : " Nous sommes préoccupés par le grand nombre de victimes et nous travaillons avec nos partenaires pour comprendre l'ampleur de la situation. "
Pour l'attaque, Microsoft a donné le nom du groupe Hafnium basé en Chine et opérant par l'intermédiaire de serveurs privés virtuels loués aux États-Unis. D'après les chercheurs en sécurité de Volexity, les intrusions auraient débuté dès le 6 janvier dernier (au moins). Néanmoins, d'autres groupes - acteurs étatiques et groupes cybercriminels - pourraient aussi être de la partie.
