Microsoft annonce ce matin qu’un groupe de hackers chinois cible actuellement les serveurs de messagerie Exchange en exploitant des failles 0-day. Un Patch est disponible et doit être appliquer d’urgence.
4 vulnérabilités exploitées par HAFNIUM.
Le « Microsoft Threat Intelligence Center (MSTIC) » a annoncé avoir détecté une campagne, ciblant d’abord les serveurs Exchange aux Etats-Unis, puis ceux ailleurs dans le monde, dont le point d’origine serait un groupe baptisé HAFNIUM. Selon le MSTIC, le groupe de hacker pourrait être lié au gouvernement chinois et disposerait d’experts de grande compétence. Les hackers exploiteraient les vulnérabilité suivantes, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065, pour prendre le contrôle des serveurs Exchange « on-premise ». Exchange Online ne serait pas concerné.
30 000 serveurs atteints !
Mise à jour du 08/03/2021 :
Le chiffre est énorme. 30 000 organisations ont été piratées dans le cadre de cette faille : des services de police, des hopitaux, des organisations à but non lucratif, des services financiers, des gouvernements locaux, etc… L’intrusion initiale permet aux hackers de placer ensuite un « shell web » afin d’entrer dans les serveurs quand ils le souhaitent, même après le passage de la mise à jour corrective.
Dernière nouvelle en date : L’autorité bancaire européenne annonce avoir à son tour été victime, dans un message du 7 Mars. Les serveurs de messagerie ont été mis hors ligne par précaution.
Mise à jour en urgence.
Microsoft invite les administrateurs des serveurs Exchange à passer en urgence la mise à jour qui vient d’être mise à disposition. Cela peut nécessiter d’appliquer au préalable certaines mises à jour cumulative si vous n’aviez pas suivi le cycle trimestriel de « Cumulative Update ».
Mise à jour du 08/03/2021 :
L’attaque pouvant permettre la pose, dans les serveurs, d’outils de prise de contrôle à disposition des hackers, lesquels restent actifs même après l’application de la mise à jour fournie par Microsoft, il est nécessaire de vérifier la santé de vos serveurs.
Heureusement, un script « Health Checker » est disponible sur Github, créé par « dpaulson45 ». S’ajoute à cela un autre script pour vérifier la présence d’un webshell sur les serveurs, par « dr3wy« .
Vous pouvez donc vérifier dès maintenant si votre server est sain.
Plus d’informations sur le blog sécurité de Microsoft (le lien vers le path se trouve sur la page des CVE).