{"id":131,"date":"2021-03-03T17:24:01","date_gmt":"2021-03-03T16:24:01","guid":{"rendered":"https:\/\/wlem.lemnia.net\/vulnerabilite-hafnium-sur-exchange\/"},"modified":"2022-03-17T12:10:31","modified_gmt":"2022-03-17T11:10:31","slug":"vulnerabilite-hafnium-sur-exchange","status":"publish","type":"post","link":"https:\/\/wlem.lemnia.net\/vulnerabilite-hafnium-sur-exchange\/","title":{"rendered":"Vuln\u00e9rabilit\u00e9 HAFNIUM sur Exchange."},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Microsoft annonce ce matin qu’un groupe de hackers chinois cible actuellement les serveurs de messagerie Exchange en exploitant des failles 0-day. Un Patch est disponible et doit \u00eatre appliquer d’urgence.<\/p>\n\n\n\n

4 vuln\u00e9rabilit\u00e9s exploit\u00e9es par HAFNIUM.<\/h2>\n\n\n\n

Le \u00ab\u00a0Microsoft Threat Intelligence Center (MSTIC)\u00a0\u00bb a annonc\u00e9 avoir d\u00e9tect\u00e9 une campagne, ciblant d’abord les serveurs Exchange aux Etats-Unis, puis ceux ailleurs dans le monde, dont le point d’origine serait un groupe baptis\u00e9 HAFNIUM. Selon le MSTIC, le groupe de hacker pourrait \u00eatre li\u00e9 au gouvernement chinois et disposerait d’experts de grande comp\u00e9tence. Les hackers exploiteraient les vuln\u00e9rabilit\u00e9 suivantes, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065, pour prendre le contr\u00f4le des serveurs Exchange \u00ab\u00a0on-premise\u00a0\u00bb. Exchange Online ne serait pas concern\u00e9.<\/p>\n\n\n\n

30 000 serveurs atteints !<\/h2>\n\n\n\n

Mise \u00e0 jour du 08\/03\/2021 : <\/strong><\/em>
Le chiffre est \u00e9norme. 30 000 organisations<\/a> ont \u00e9t\u00e9 pirat\u00e9es dans le cadre de cette faille : des services de police, des hopitaux, des organisations \u00e0 but non lucratif, des services financiers, des gouvernements locaux, etc… L’intrusion initiale permet aux hackers de placer ensuite un \u00ab\u00a0shell web\u00a0\u00bb afin d’entrer dans les serveurs quand ils le souhaitent, m\u00eame apr\u00e8s le passage de la mise \u00e0 jour corrective.<\/p>\n\n\n\n

Derni\u00e8re nouvelle en date : L’autorit\u00e9 bancaire europ\u00e9enne annonce avoir \u00e0 son tour \u00e9t\u00e9 victime<\/a>, dans un message du 7 Mars. Les serveurs de messagerie ont \u00e9t\u00e9 mis hors ligne par pr\u00e9caution.<\/p>\n\n\n\n

Mise \u00e0 jour en urgence.<\/h2>\n\n\n\n

Microsoft invite les administrateurs des serveurs Exchange \u00e0 passer en urgence la mise \u00e0 jour qui vient d’\u00eatre mise \u00e0 disposition. Cela peut n\u00e9cessiter d’appliquer au pr\u00e9alable certaines mises \u00e0 jour cumulative si vous n’aviez pas suivi le cycle trimestriel de \u00ab\u00a0Cumulative Update\u00a0\u00bb.<\/p>\n\n\n\n

Mise \u00e0 jour du 08\/03\/2021 : <\/strong><\/em>
L’attaque pouvant permettre la pose, dans les serveurs, d’outils de prise de contr\u00f4le \u00e0 disposition des hackers, lesquels restent actifs m\u00eame apr\u00e8s l’application de la mise \u00e0 jour fournie par Microsoft, il est n\u00e9cessaire de v\u00e9rifier la sant\u00e9 de vos serveurs.
Heureusement, un script \u00ab\u00a0Health Checker\u00a0\u00bb est disponible sur Github<\/a>, cr\u00e9\u00e9 par \u00ab\u00a0dpaulson45\u00a0\u00bb. S’ajoute \u00e0 cela un autre script pour v\u00e9rifier la pr\u00e9sence d’un webshell sur les serveurs, par \u00ab\u00a0dr3wy<\/a>\u00ab\u00a0.
Vous pouvez donc v\u00e9rifier d\u00e8s maintenant si votre server est sain.<\/p>\n\n\n\n

Plus d’informations sur le blog s\u00e9curit\u00e9 de Microsoft<\/a> (le lien vers le path se trouve sur la page des CVE).<\/p>\n","protected":false},"excerpt":{"rendered":"

Microsoft annonce ce matin qu’un groupe de hackers chinois cible actuellement les serveurs de messagerie Exchange en exploitant des failles 0-day. Un Patch est disponible et doit \u00eatre appliquer d’urgence. 4 vuln\u00e9rabilit\u00e9s exploit\u00e9es par HAFNIUM. Le \u00ab\u00a0Microsoft Threat Intelligence Center (MSTIC)\u00a0\u00bb a annonc\u00e9 avoir d\u00e9tect\u00e9 une campagne, ciblant d’abord les serveurs Exchange aux Etats-Unis, puis […]<\/p>\n","protected":false},"author":2,"featured_media":132,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-131","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-general"],"_links":{"self":[{"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/posts\/131"}],"collection":[{"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/comments?post=131"}],"version-history":[{"count":2,"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/posts\/131\/revisions"}],"predecessor-version":[{"id":526,"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/posts\/131\/revisions\/526"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/media\/132"}],"wp:attachment":[{"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/media?parent=131"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/categories?post=131"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wlem.lemnia.net\/wp-json\/wp\/v2\/tags?post=131"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}