Un récent rapport de la société KrebsOnSecurity a permis de montrer que des failles de sécurité au sein du logiciel Microsoft Exchange, auraient permis à des hackers de pirater plus de 30 000 organisations gouvernementales et entreprises américaines. Parmi les victimes : les serveurs de plusieurs États, des villes, des services d'incendie et de police, des districts scolaires, ou encore des institutions financières.
Plusieurs failles détectées au sein de Microsoft Exchange
Il y a quelques jours à peine, Microsoft faisait part de ses inquiétudes quant à l'intrusion de hackers chinois dans Exchange. Ils ont réussi à exploiter une faille jusqu'alors inconnue. Les pirates ont opéré avec méthode, en trois étapes, pour récupérer les données des entreprises ou des agences gouvernementales visées. La faille de sécurité a vraisemblablement été corrigée par Microsoft à l'heure actuelle, mais il faudra du temps pour identifier toutes les victimes et stopper définitivement l'hémorragie.
Selon Microsoft, cette vulnérabilité a permis aux pirates d'accéder aux comptes de messagerie électronique des entreprises, et leur ont également donné la possibilité d'installer des logiciels malveillants qui pourraient leur permettre de revenir sur ces serveurs ultérieurement. Selon Krebs, cette attaque aurait été menée par Hafnium, un groupe de pirates informatiques chinois. Même sans preuve concrète, il ne fait aucun doute que ce groupe est très probablement soutenu par Pékin.
Un expert en cybersécurité du gouvernement américain a déclaré que : "les districts scolaires et les agences gouvernementales locales ont tous besoin d'aide... Si les victimes se comptent réellement par dizaines de milliers, comment réagir aux incidents ? Il n'y a tout simplement pas assez de personnel pour apporter une réponse rapide aux victimes et sécuriser les serveurs".
Pas de lien avec la cyberattaque SolarWinds
La cyberattaque aurait démarré le 6 janvier. Elle s'est intensifiée fin février. Microsoft a publié ses premiers articles sur le sujet le 2 mars. Les hackers ont eu quasiment deux mois pour mener à bien leurs opérations. Dans la foulée, Microsoft a évidemment publié plusieurs mises à jour de sécurité pour permettre de corriger les vulnérabilités en question. La société américaine demande à ses clients de les installer au plus vite. La faille a touché les entreprises fonctionnant sous Exchange 2013, 2016 ou 2019.
Cette attaque de grande envergure rappelle évidemment celle sur SolarWinds, au cours de laquelle Microsoft avait également été touché. Selon la firme de Redmond : "cette cyberattaque n'est en aucune façon liée aux attaques de SolarWinds qui ont compromis des agences du gouvernement fédéral américain et des entreprises l'année dernière". On risque d'entendre encore parler pendant un petit moment de cette attaque de Hafnium. Les entreprises touchées n'ont pas encore été toutes nommées.
À ce propos, un porte-parole de Microsoft a déclaré que : "nous travaillons en étroite collaboration avec la CISA (Cybersecurity and Infrastructure Security Agency), et d'autres agences gouvernementales ainsi que des sociétés de sécurité, afin de nous assurer que nous mettons bien nos clients en sécurité. Notre objectif est avant tout la protection de nos clients et c'est pour cela que nous avons rapidement proposé des mises à jours de notre logiciel".
