Homeland Security déclare l’attaque de Microsoft Exchange «d’urgence»
Homeland Security a déclaré une attaque en cours contre Microsoft Exchange comme une urgence. Les attaques, qui ont commencé plus tôt cette semaine, ciblent les serveurs Microsoft Exchange, enchaînant plusieurs exploits zero-day pour accéder à des comptes de messagerie sécurisés.
Sécurité intérieure: l'attaque est un «risque inacceptable»
La sécurité intérieure a publié la directive d'urgence 21-02 le 3 mars dernier, fournissant des informations générales sur l'attaque de Microsoft Exchange.
Les partenaires CISA ont observé une exploitation active des vulnérabilités dans les produits Microsoft Exchange sur site. Ni les vulnérabilités ni l'activité d'exploitation identifiée ne sont actuellement connues pour affecter les déploiements Microsoft 365 ou Azure Cloud. L'exploitation réussie de ces vulnérabilités permet à un attaquant d'accéder aux serveurs Exchange sur site, ce qui leur permet d'obtenir un accès permanent au système et le contrôle d'un réseau d'entreprise.
La directive explique ensuite qu'une attaque de cette nature «pose un risque inacceptable pour les agences du pouvoir exécutif civil fédéral et nécessite une action d'urgence».
La sécurité intérieure a fixé le vendredi 5 mars à 12 h 00 HNE, pour que les agences fédérales se conforment aux protocoles d'analyse et d'atténuation définis dans la directive.
Actuellement, chaque agence doit identifier ses serveurs Microsoft Exchange, effectuer un triage médico-légal de sa mémoire système, ses journaux et ses ruches de registre, puis analyser les résultats pour tout indicateur de vol d'informations d'identification ou d'autres compromis.
Qui attaque les serveurs Microsoft Exchange?
Microsoft a clairement indiqué le chiffre à un groupe de piratage chinois de l'État-nation connu sous le nom de HAFNIUM. Habituellement, les entreprises mettent un peu plus de temps avant de s'engager à nommer un suspect, mais Microsoft ne doute guère qu'un «acteur hautement qualifié et sophistiqué» est à l'origine de l'attaque.
Microsoft Threat Intelligence Center (MSTIC) attribue cette campagne avec une grande confiance à HAFNIUM, un groupe évalué comme étant parrainé par l'État et opérant hors de Chine, sur la base de la victimologie, des tactiques et des procédures observées.
Cela s'explique en partie par le fait que l'attaque de Microsoft Exchange associe quatre vulnérabilités jusque-là inconnues. Vous pouvez lire les détails sur le blog officiel de Microsoft Security .
Microsoft note également qu'il a observé HAFNIUM interagir avec sa suite Microsoft Office 365, à la recherche de vulnérabilités. Il a également confirmé que cette attaque n'avait aucun rapport avec SolarWinds, l'énorme cyberattaque qui a affecté plusieurs agences gouvernementales américaines, ainsi que plusieurs grandes entreprises technologiques.
La bonne nouvelle est que, bien que ces attaques se poursuivent et constituent une menace importante contre les serveurs Microsoft Exchange, l'équipe de sécurité Microsoft a déjà déployé une série de correctifs pour atténuer les vulnérabilités.
Vous pouvez trouver plus de détails concernant les correctifs de Microsoft Exchange Server sur le site de la communauté technique Microsoft , y compris comment télécharger et installer les mises à jour, ainsi que comment analyser vos serveurs Exchange à la recherche de signes de compromission.