Organismes publics et entreprises privées sont au front pour contrer les conséquences des attaques exploitant les failles de Solarwinds Orion et d’Exchange Server. Des attaques sophistiquées probablement sponsorisées par des services étatiques.

Depuis une semaine, les équipes de cybersécurité dans le monde sont lancées dans une course contre la montre pour patcher toutes les messageries on-premisses hébergées sous Exchange Server (les messageries cloud Office 365/Microsoft 365 ne sont pas affectées). Microsoft a en effet publié un patch et une alerte pour une vulnérabilité « Zero Day » sur Exchange exploitée par des cybercriminels. Les attaques semblent avoir été automatisées et avoir déjà touché quelque 60 000 clients dans le monde, dont 30 000 aux USA. La faille en question est gravissime puisqu’elle permet aux attaquants de réaliser une exécution de code arbitraire à distance, d’installer des ransomwares et même d’obtenir in fine les droits de l’administrateur de domaine Active Directory.

« D’après les informations actuellement en notre possession, l’exploitation d’une des quatre failles ne nécessite aucune authentification et peut être utilisée pour télécharger des messages de la boite mail de la victime. Les autres vulnérabilités peuvent être exploitées conjointement par un cybercriminel afin de faciliter la compromission du réseau des entreprises attaquées » explique Satnam Narang, Staff Research Engineer chez Tenable.

Des hackers chinois (le groupe Hafnium) sponsorisés par l’état chinois sont ici pointés du doigt par Microsoft. « C’est une course » expliquait la semaine dernière Tom Burt, vice-président de Microsoft pour la sécurité et la confiance des clients. « Depuis que nous avons rendu publique la disponibilité de la mise à jour, nous avons vu le nombre de clients compromis exploser. Un nombre qui augmente incroyablement rapidement et continue d’augmenter ».

Toutes les organisations de cybersécurité, à commencer par l’ANSSI, ont alerté sur l’urgence de la situation et la nécessité de patcher au plus vite les serveurs. Une alerte qui semble avoir été entendue : « Je n’ai jamais vu des taux de correctifs de sécurité aussi élevés pour aucun système, encore moins pour un système aussi largement déployé que Microsoft Exchange » constate Matt Kraning, directeur de la technologie Cortex chez Palo Alto Networks. « Néanmoins, nous exhortons les organisations exécutant toutes les versions d’Exchange à supposer qu’elles ont été compromises avant de corriger leurs systèmes, car nous savons que les attaquants exploitaient ces vulnérabilités zero-day dans la nature pendant au moins deux mois avant que Microsoft ne publie les correctifs le 2 mars ».
Autrement dit, il ne suffit pas de patcher les serveurs. Il faut aussi s’assurer qu’ils n’ont pas été compromis entre temps. Selon Palo Alto Networks, au moins 5 100 serveurs Exchange en France auraient été compromis. Microsoft a d’ailleurs publié des indicateurs de compromission (et les requêtes qui vont avec) en open source.

Ces attaques font suite à l’attaque SunBurst découverte fin décembre 2020 et dont les conséquences sont toujours en court d’évaluation. Cette attaque qui exploitait une compromission du logiciel SolarWinds Orion semble avoir été menée par des hackers sponsorisés par les services d’intelligence russes.

Pour certains observateurs, le timing de l’attaque chinoise n’est pas nécessairement un hasard. « L’attaque contre Microsoft Exchange est une attaque froide et calculée » estime ainsi Lior Div, co-fondateur de Cybereason. « Les agresseurs chinois savent exactement ce qu’ils font. La nouvelle administration américaine a été distraite par des enquêtes sur un autre adversaire des États-Unis sur le champ de bataille cybernétique – la Russie – et par sa violation calculée contre SolarWinds ».

Si l’on parle beaucoup des organismes d’état qui ont été victimes de ces attaques, il ne faut pas oublier non plus que de nombreuses entreprises ont aussi été ciblées. Pour RSSI et équipes cyber, la sophistication de ces attaques financées par les états constitue un challenge supplémentaire et une préoccupation de plus en plus prégnante. Un défi de plus qui ne fait que renforcer l’idée que les entreprises doivent impérativement se montrer beaucoup plus cyber-résilientes et investir pour le devenir.