Après quatre corrections de faille la semaine dernière, Microsoft publie une mise à jour de script pour analyser les fichiers journaux (log files) d’Exchange et rechercher les indicateurs de compromission (IOC) associés aux vulnérabilités de type « zero-day ». 60.000 organismes utilisant le logiciel de courrier électronique Exchange ont été identifiés comme victimes de l’attaque initiée par le groupe de pirates chinois Hafnium.

Revenons sur la succession d’annonces ces quatre derniers jours, depuis notre article du 4 mars :

Le 5 mars, Microsoft déclare constater des attaques accrues provenant de multiples acteurs malveillants, outre Hafnium, et ciblant des serveurs Exchange non corrigés par son patch du 2 mars.

Le même jour, une dépêche de l’agence de presse Reuters indique que plus de 20.000 organisations sont touchées aux Etats-Unis.

La société de Redmond publie des ressources supplémentaires. Dans un post de blog, elle détaille des techniques alternatives d’atténuation pour ceux de ses clients n’étant pas en mesure d’installer une mise à jour rapidement ou étant prêts à faire un compromis entre risque et continuité de service. « Ces mesures d’atténuation ne sont pas une solution si vos serveurs Exchange ont déjà été compromis, ni une protection complète contre les attaques », prévient Microsoft.

Selon un journaliste indépendant spécialisé dans la cybersécurité, Brian Krebs, le nombre d’organisations touchées aux Etats-Unis est plutôt de l’ordre de 30.000. Il cite des sources ayant alerté les responsables de la sécurité nationale.

Le 6 mars, l’Agence américaine de cybersécurité et de sécurité des infrastructures (la CISA) déclare être consciente de l’exploitation généralisée des vulnérabilités au niveau national et international et recommande à toutes les organisations utilisant Microsoft Exchange (hors version Cloud) d’exécuter le script Microsoft publié sur GitHub dès que possible pour déterminer si leurs systèmes sont compromis.

Le 7 mars, Bloomberg indique que l’attaque initiée par le groupe de piratage Hafnium a fait au moins 60.000 victimes connues dans le monde. D’après l’agence de presse, ce nouveau chiffre provient d’un ancien haut fonctionnaire américain ayant connaissance de l’enquête.

 

 

Nos lecteurs ont lu ensuite


Hafnium et ses conséquences vu par cinq prestataires IT
Nous avons demandé à quelques prestataires IT de nous décrire de quelle manière Hafnium les avait affectés eux et leurs clients. Nous publions ici les témoignages de Hervé Thibault, directeur technique Metsys ; Nicolas Leroy-Fleuriot,...

Pas de crise de la trentaine pour les ransomwares
L’évolution des ransomwares   Trente ans après le premier ransomware[1], ce type de logiciels malveillants chiffrant les données de leurs victimes jusqu’à l’obtention d’une rançon a toujours le vent en poupe. En 2017, les ransomwares...

« Simple comme un clic » : Microsoft publie un nouvel outil pour protéger les serveurs Exchange qui ne peuvent pas être mis à jour immédiatement
Le géant logiciel met à disposition, depuis hier, un outil simple et rapide, mais provisoire, pour limiter les risques d’attaques ProxyLogon sur les serveurs Exchange 2013, 2016 et 2019 toujours connectés à internet. Microsoft Exchange...

La portée des attaques de Hafnium contre des serveurs Exchange serait bien supérieure à ce que veut bien admettre Microsoft
Huntress conteste l’affirmation de Microsoft selon laquelle les pirates chinois du groupe Hafnium auraient exécuté des « attaques limitées et ciblées » contre des serveurs Exchange sur site. Dans un post de blog publié hier, John Hammon, le...

Attaques Hafnium-ProxyLogon : le rançongiciel DearCry sévit désormais sur Exchange
Les attaques dites Hafnium, sur les serveurs de mail Exchange de Microsoft, sont rebaptisées attaques ProxyLogon car elles sont le fait de divers cyberattaquants. Ces tentatives d’exploitation se sont « multipliées par plus de 10 » en...