Dans un communiqué publié le 2 mars 2021, Microsoft a donné l’alerte sur une cyberattaque visant les serveurs utilisant son service Exchange. Il s’agit d’un produit utilisé par les entreprises pour créer des adresses email, gérer les envois et réceptions de courriels, etc. Dans son communiqué, Microsoft explique avoir baptisé ce groupe Hafnium, qui s’avère être « hautement expérimenté et sophistiqué. »
Une intrusion dans les serveurs Microsoft Exchange en trois étapes
L’attaque qui est en cours a été identifiée par le Microsoft Threat Intelligence Center (MSTIC), qui en a profité pour découvrir une faille « zero day ». Ce terme est employé pour qualifier une vulnérabilité informatique qui n’a pas fait l’objet d’un article ou d’une note, et qui n’a pas encore de correctif. Ainsi, les pirates chinois opèrent en trois étapes. D’abord, ils accèdent au serveur Microsoft Exchange grâce à des identifiants préalablement dérobés, ou grâce à une vulnérabilité les faisant passer pour un utilisateur ayant un accès. Ensuite, ils créent un moyen leur permettant de contrôler le serveur à distance. Enfin, à partir des serveurs situés aux États-Unis, sont en mesure d’aspirer les données de l’entreprise visée.
Microsoft invite ses clients à mettre à jour de toute urgence leurs serveurs Exchange pour corriger quatre failles. De plus, l’entreprise n’exclut pas d’autres cyberattaques par ricochet. « Même si nous avons travaillé rapidement pour déployer une mise à jour des failles exploitées par Hafnium, nous savons que de nombreux acteurs d’États et groupes criminels agiront rapidement pour tirer parti de tout système non protégé », ajoute Tom Burt dans le communiqué.
Microsoft veut montrer l’exemple
Pour l’instant, Microsoft n’a aucune preuve que ses clients directs ont été touchés. Seules les entreprises ayant créé leurs propres serveurs Exchange semblent vulnérables. D’autre part, la firme de Redmond s’est vite tournée vers les organes gouvernementaux compétents afin de les informer plus en détail sur l’attaque ainsi que sur Hafnium.
Lors d’une audience du comité de renseignement du Sénat américain sur la cyberattaque SolarWinds, le président de Microsoft, Brad Smith, avait appelé à plus de transparence et de coordination dans la cybersécurité. Si l’attaque des serveurs Exchange n’a aucun lien avec SolarWinds, on veut montrer l’exemple, et encourager les autres à en faire de même.
