0

  • Votre panier est vide.

  • LOGIN

La saison est ouverte pour les piratages du serveur Microsoft Exchange

Certains articles de veille peuvent faire l'objet de traduction automatique.

Un espionnage massif d’espionnage par un groupe de pirates chinois parrainé par l’État a frappé au moins 30 000 victimes rien qu’aux États-Unis.. Les vulnérabilités d’Exchange Server exploitées par le groupe connu sous le nom de Hafnium ont été corrigées, mais les problèmes sont loin d’être terminés. Maintenant que les pirates criminels peuvent voir ce que Microsoft a corrigé, ils peuvent rétroconcevoir leurs propres exploits, ce qui ouvre la porte à des attaques de plus en plus violentes, comme les rançongiciels, sur tous ceux qui sont encore exposés.

Au cours de la semaine qui s’est écoulée depuis que Microsoft a publié ses premiers correctifs, cette dynamique semble déjà se manifester. Les analystes ont vu de nombreux groupes, pour la plupart non identifiés, entrer en action ces derniers jours, et d’autres pirates sont probablement encore à venir. Plus les organisations tardent à appliquer les correctifs, plus elles risquent d’avoir des problèmes.

Alors que de nombreuses organisations qui obtiennent des services de messagerie de Microsoft utilisent les offres en nuage de la société, d’autres choisissent d’exécuter un serveur Exchange elles-mêmes « sur place », ce qui signifie qu’elles possèdent et exploitent physiquement les serveurs de messagerie et gèrent le système. Microsoft a publié des correctifs pour quatre vulnérabilités dans son logiciel Exchange Server mardi dernier et a déclaré dans ces premiers avertissements que le groupe de pirates informatiques Hafnium, soutenu par l’État chinois, était à l’origine de cette frénésie. Il a également confirmé cette semaine que le barrage n’a pas cessé.

« Microsoft continue de constater que de multiples acteurs profitent de systèmes non corrigés pour attaquer des organisations disposant d’Exchange Server sur site », a déclaré l’entreprise dans un communiqué. mise à jour le lundi.

Plus tard dans la soirée, l’Agence pour la cybersécurité et la sécurité des infrastructures du ministère de la Sécurité intérieure a réaffirmé l’urgence pour les organisations vulnérables de prendre des mesures. « Le CISA exhorte TOUTES les organisations de TOUS les secteurs à suivre les conseils pour lutter contre l’exploitation nationale et internationale généralisée des vulnérabilités du produit Microsoft Exchange Server », a déclaré l’agence a tweeté.

Aussi mauvaise que soit la situation actuelle avec l’exploitation d’Exchange, les responsables de la réponse aux incidents prévoient que les choses pourraient encore empirer si rien n’est fait.

« Il y a un point d’inflexion où cela passe des mains des opérateurs d’espionnage à celles des criminels et potentiellement de l’open source », déclare John Hultquist, vice-président de l’analyse des renseignements chez la société de sécurité FireEye. « C’est ce pour quoi nous retenons tous notre souffle en ce moment, et c’est probablement en train de se produire. »

Les correctifs sont essentiels pour protéger les organisations, mais les chercheurs comme les attaquants peuvent également les utiliser pour étudier une vulnérabilité sous-jacente et trouver comment l’exploiter. Cette course aux armements n’enlève rien à l’importance de la diffusion des correctifs, mais elle peut potentiellement transformer des attaques ciblées et axées sur l’espionnage en une mêlée destructrice.

« Je soupçonne que les gens vont trouver comment exploiter ces vulnérabilités qui n’ont rien à voir avec Hafnium ou leurs amis », a déclaré Steven Adair, PDG de la société de sécurité Volexity, qui a été le premier à repérer la campagne de piratage d’Exchange Server, dans une interview la semaine dernière. « Les personnes qui exploitent les crypto-monnaies et les ransomwares vont entrer dans ce jeu ».

Les analystes du renseignement sur les menaces des sociétés de sécurité Red Canary et Binary Defense voient déjà des indications que les attaquants préparent le terrain pour exécuter des cryptomonnaies sur les serveurs Exchange exposés.

La situation, déjà précaire, risque d’empirer dès que quelqu’un publiera un exploit de type « proof-of-concept », c’est-à-dire un outil de piratage de type « blueprint » que d’autres pourront utiliser. Je sais que certaines équipes de recherche travaillent sur des exploits de type « proof-of-concept » afin de pouvoir protéger et défendre leurs clients », déclare Katie Nickels, directrice du renseignement de la société de sécurité Red Canary. « Ce qui rend tout le monde nerveux en ce moment, c’est que quelqu’un publie une preuve de concept ».

Mardi, des chercheurs de la société de sécurité d’entreprise Praetorian ont publié un rapport sur un outil d’exploitation qu’ils ont développé pour les vulnérabilités d’Exchange. La société affirme avoir fait le choix délibéré d’omettre certains détails clés qui permettraient à pratiquement n’importe quel attaquant, quelles que soient ses compétences et son expertise, d’utiliser cet outil. Mercredi, le chercheur en sécurité Marcus Hutchins a déclaré que qu’une preuve de concept a commencé à circuler publiquement.

Voir aussi :

juin 17, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)