Des hackers probablement financés par la Chine ont exploité une faille « zero day » d’Exchange Server (la version On-Premises) pour explorer les emails d’un grand nombre d’entreprises.

Toutes les entreprises n’ont pas basculé leur messagerie email dans le cloud et nombre d’entre elles à travers le monde continue d’exploiter « Microsoft Exchange Server » en version on-premises, parfois par choix budgétaire, parfois par conviction que d’avoir tout chez soi est forcément plus sûr et plus confidentiel. Mais rien n’est jamais aussi simple.

La semaine dernière Microsoft émettait en urgence un patch de sécurité pour corriger une faille sur son serveur de messagerie ‘on-prem’ déjà exploitée « in the wild », autrement dit largement mise en œuvre par les pirates. Cette faille (ou plutôt cet ensemble de failles) concerne les éditions 2010, 2013, 2016, 2019 d’Exchange Server.

Depuis cette annonce, cette faille patchée est en train de se transformer en véritable crise internationale. Plus de 60.000 entreprises dans le monde (et notamment en Europe) seraient victimes d’une attaque menée par le groupe de hackers Hafnium, supposé financièrement soutenu par le gouvernement chinois. Plus de 30 000 entreprises américaines, dont des villes, des fournisseurs d’énergie, des banques, ont déjà été touchées par cette attaque. Cette dernière semble avoir été très largement automatisée pour attaquer un maximum d’entreprises dans un laps de temps le plus court possible. Une course contre la montre s’est engagée entre les hackers et les administrateurs des entreprises exploitant le logiciel serveur de Microsoft.

Les autorités cyber de tous les pays ont lancé des alertes. Le CERT-FR rappelle « le motif urgent de la mise en place des correctifs de sécurité, ou au moins la restriction des accès à la plateforme ainsi que la mise en place des mesures de contournement le temps d’appliquer ces correctifs » dans son bulletin d’alerte.

La faille est en effet d’une rare gravité : elle permet à un attaquant de réaliser une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory. Et dès lors de prendre possession de l’intégrité de la messagerie et plus encore avec un déplacement latéral des attaques pour accéder aux différentes ressources de l’entreprise.

Au vu de la criticité de ces vulnérabilités, l’ANSSI recommande fortement de :
1/ déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs ;
2/ appliquer immédiatement les correctifs de sécurité fournis par l’éditeur sur l’ensemble des serveurs Exchange exposés sur Internet puis en interne ;
3/ procéder à l’analyse des serveurs Exchange afin d’identifier une possible compromission
4/ de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory.

Pour l’ANSSI, il est essentiel que les entreprises comprennent que patcher la messagerie ne suffit pas si celle-ci a déjà été infectée. Appliquer les patchs Exchange Server n’éliminera pas les pirates du réseau. C’est pourquoi il est essentiel d’analyser l’Active Directory et de vérifier les indicateurs de compromission à l’aide des outils IOC fournis par Microsoft.

Selon les experts en sécurité de Volexity qui ont collaboré avec Microsoft, les premiers signes d’exploitation de cette faille remonteraient à la fin janvier. À l’époque, l’attaque n’avait pas encore été automatisée et ne concernait qu’un nombre restreint de victimes.

Tout comme pour « SolarWinds/SunBurst », cette nouvelle vague de cyber-invasion sponsorisée par un état risque de faire parler d’elle pendant plusieurs mois et rappelle la vulnérabilité des infrastructures face à ces attaques d’une grande complexité. On notera cependant que les entreprises qui ont basculé toute leur messagerie sur Office 365/Microsoft 365 ne sont pas impactées ni concernées par les vulnérabilités évoquées et par cette nouvelle vague d’attaques.