Après quatre corrections de faille la semaine dernière, Microsoft publie une mise à jour de script pour analyser les fichiers journaux (log files) d’Exchange et rechercher les indicateurs de compromission (IOC) associés aux vulnérabilités de type « zero-day ». 60.000 organismes utilisant le logiciel de courrier électronique Exchange ont été identifiés comme victimes de l’attaque initiée par le groupe de pirates chinois Hafnium.
Revenons sur la succession d’annonces ces quatre derniers jours, depuis notre article du 4 mars :
Le 5 mars, Microsoft déclare constater des attaques accrues provenant de multiples acteurs malveillants, outre Hafnium, et ciblant des serveurs Exchange non corrigés par son patch du 2 mars.
Le même jour, une dépêche de l’agence de presse Reuters indique que plus de 20.000 organisations sont touchées aux Etats-Unis.
La société de Redmond publie des ressources supplémentaires. Dans un post de blog, elle détaille des techniques alternatives d’atténuation pour ceux de ses clients n’étant pas en mesure d’installer une mise à jour rapidement ou étant prêts à faire un compromis entre risque et continuité de service. « Ces mesures d’atténuation ne sont pas une solution si vos serveurs Exchange ont déjà été compromis, ni une protection complète contre les attaques », prévient Microsoft.
Selon un journaliste indépendant spécialisé dans la cybersécurité, Brian Krebs, le nombre d’organisations touchées aux Etats-Unis est plutôt de l’ordre de 30.000. Il cite des sources ayant alerté les responsables de la sécurité nationale.
Le 6 mars, l’Agence américaine de cybersécurité et de sécurité des infrastructures (la CISA) déclare être consciente de l’exploitation généralisée des vulnérabilités au niveau national et international et recommande à toutes les organisations utilisant Microsoft Exchange (hors version Cloud) d’exécuter le script Microsoft publié sur GitHub dès que possible pour déterminer si leurs systèmes sont compromis.
Le 7 mars, Bloomberg indique que l’attaque initiée par le groupe de piratage Hafnium a fait au moins 60.000 victimes connues dans le monde. D’après l’agence de presse, ce nouveau chiffre provient d’un ancien haut fonctionnaire américain ayant connaissance de l’enquête.