Dans le cadre d'une publication hors cycle - et donc en urgence - de mises à jour de sécurité pour Microsoft Exchange Server 2013, 2016 et 2019, Microsoft informe que quatre vulnérabilités font l'objet d'une exploitation dans une attaque active.

Les vulnérabilités CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065 sont utilisées dans une chaîne d'attaque.

" L'attaque initiale nécessite la possibilité d'établir une connexion non fiable au port 443 du serveur Exchange. Il est possible de s'en protéger en limitant les connexions non fiables ou en mettant en place un VPN pour séparer le serveur Exchange de tout accès externe ", écrit Microsoft.

Après exploitation des vulnérabilités, l'attaquant est en mesure de déployer des web shell sur le serveur compromis. De quoi obtenir un accès et contrôle à distance depuis une interface, dérober des données et procéder à diverses actions malveillantes.

Microsoft pointe du doigt un groupe chinois

Microsoft fait plus qu'évoquer un attaquant en donnant le nom d'un groupe baptisé Hafnium. Basé en Chine et avec a priori le soutien du gouvernement de Pékin, il opérerait principalement par l'intermédiaire de serveurs privés virtuels loués aux États-Unis.

securite

Le groupe Hafnium est présenté par Microsoft comme un acteur " hautement qualifié et sophistiqué " dont les cibles pour de l'exfiltration de données sont essentiellement aux États-Unis, parmi lesquelles des chercheurs en maladies infectieuses, cabinets d'avocats, établissements d'enseignement supérieur, entreprises du secteur de la défense ou encore des ONG.

Pour la cyberattaque avec des exploits qui étaient auparavant inconnus, Microsoft cite seulement des entreprises utilisant Exchange Server sur site. Le groupe de Redmond a lui même été alerté par des chercheurs en sécurité de Volexity d'après qui les attaques auraient débuté dès le 6 janvier dernier.

" Même si nous avons travaillé rapidement pour déployer une mise à jour pour les exploits Hafnium, nous savons que de nombreux acteurs d'États-nations et groupes criminels agiront rapidement pour tirer parti des systèmes sans les correctifs ", prévient Microsoft. Il ne faut donc pas attendre patiemment le prochain Patch Tuesday…