Huntress conteste l’affirmation de Microsoft selon laquelle les pirates chinois du groupe Hafnium auraient exécuté des « attaques limitées et ciblées » contre des serveurs Exchange sur site. Dans un post de blog publié hier, John Hammon, le principal chercheur en sécurité du fournisseur de services de détection et de réponse gérés, déclare que la portée du compromis est assez étendue.

D’après le géant du logiciel basé à Redmond, le groupe Hafnium cible en priorité des organismes dans l’espoir d’exfiltrer des informations sensibles : recherche en maladies infectieuses, groupes de réflexion politique, établissements d’enseignement supérieur, cabinets d’avocats, entreprises impliquées dans la Défense, ONG… Mais le porte-parole de Huntress constate que de nombreuses victimes des attaques de Microsoft Exchange sont des entreprises « moins sexy », de taille moyenne.

Selon ce dernier, 400 serveurs Exchange sur les 2 000 surveillés par Huntress sont susceptibles de présenter des vulnérabilités de type zero-day exploitées par Hafnium, et une centaine d’autres serveurs sont potentiellement vulnérables. En outre, il estime que près de 200 serveurs de ses partenaires ont reçu des charges malveillantes de type web shell (code encoquillé). Celles-ci permettent aux attaquants de voler des données mais aussi d’étendre leur accès pour faire plus de dégâts, après avoir mis un pied dans le réseau.

« Parmi les entreprises victimes moins connues, il y a des petits hôtels, un producteur de crème glacée, un fabricant d’appareils de cuisine et plusieurs communautés regroupant des personnes âgées », précise John Hammon à CRN. « Les points d’accès compromis sont équipés d’un anti-virus ou d’un outil de détection et de réponse (EDR), mais les pirates ont réussi à passer outre la plupart des outils de sécurité préventive. On a vu des honeypots – des leurres destinés à appâter les pirates – être attaqués, ce qui démontre que les cybercriminels scannent l’Internet à la recherche de proies faciles ».

Microsoft recommande à tous ses clients de se mettre à jour dès que possible, « car nous anticipons que de nombreux acteurs d’État-nation et groupes criminels agiront rapidement pour tirer parti de tout système non patché ».