Microsoft a été la cible d’une cyberattaque visant ses serveurs emails Exchange. Des failles 0-day ont été exploitées par les cybercriminels pour accéder aux comptes de courrier électronique et installer des logiciels malveillants supplémentaires. Environ 60 000 entreprises, agences et organisations seraient vulnérables.
Microsoft a collaboré avec les experts de Volexity et Dubex pour détecter l’exploitation de ces failles 0-day dans les serveurs de messagerie utilisant sa plateforme Exchange. Selon la firme, ces vulnérabilités ont été utilisées par les cybercriminels pour accéder aux serveurs Exchange locaux et accéder aux comptes de courrier électronique, ainsi que pour installer des logiciels malveillants supplémentaires qui facilitent l’accès aux environnements informatiques des victimes à long terme.
Selon Microsoft, les responsables de ces attaques ciblées sont les hackers du cybergang chinois Hafnium, considéré comme étant parrainé par l’État et opérant à partir de la Chine. Hafnium cible principalement des entreprises aux États-Unis dans différents secteurs industriels, tels que les chercheurs en maladies infectieuses, les cabinets d’avocats, les établissements d’enseignement supérieur, les entrepreneurs de la défense, les groupes de réflexion sur les politiques et les ONG. Le cybergang avait déjà fait parler de lui en exfiltrant des données de la plateforme d’échange de données Mega.
Les serveurs Exchange vulnérables sont ceux qui exploitent les versions 2013, 2016 et 2019 de la plateforme. Les failles en question (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065) ont toutes été patchées. Microsoft invite donc toutes les entreprises utilisant cette solution à appliquer immédiatement les correctifs. Exchange Online n’est pas affecté et il n’y a pas de preuve à ce jour que cette faille ait pu avoir des conséquences en France.
Quelques semaines après l’émergence du méga-hack SolarWinds, cette nouvelle cyberattaque met en lumière l’importance de la cybersécurité pour les États, les entreprises et tout type d’organisation. Il est essentiel de réparer immédiatement tous les systèmes touchés pour se protéger contre ces exploits et prévenir les abus futurs dans l’ensemble de l’écosystème.
