Les pirates mettent les bouchées doubles et infectent des milliers de systèmes par heure. Les entreprises vont être confrontées à un énorme travail de détection et de nettoyage.
Alerte générale dans les centres de réponse aux incidents. Le groupe de hackers présumés chinois « Hafnium » est en train de se dépêcher pour pirater un maximum de serveurs Microsoft Exchange dans le monde entier. Cette opération avait été détectée le 6 janvier dernier par les chercheurs en sécurité de Volexity et s’appuie sur quatre failles zero-day patchées par Microsoft la semaine dernière. Malheureusement, beaucoup d’organisations n’ont toujours pas installé le correctif. Selon Shodan, plus de 266 000 serveurs accessibles sur Internet étaient toujours vulnérables jeudi 4 mars dernier, dont plus de 10 000 en France.
Selon KrebsOnSecurity, des « centaines de milliers » de serveurs Exchange auraient d’ores et déjà été piratés à ce jour, dont au moins 30 000 aux États-Unis. Et les hackers continuent leur funeste travail à un rythme effréné. « C’est massif, absolument massif. Chaque heure, des milliers de serveurs sont compromis dans le monde entier », estime une source anonyme de Wired. « Si vous avez des serveurs Exchange et que vous n’avez pas encore installé le patch, il y a de grandes chances que votre organisation soit compromise », souligne Steven Alair, président de Volexity, auprès de KrebsOnSecurity.
Toutefois, tous ces serveurs Exchange hackés ne sont pas forcément la cible du groupe Hafnium. Les hackers y installent un « web shell », une porte dérobée qui permet d’analyser le système et de décider s’il faut aller plus loin. Le cas échéant, d’autres malwares sont alors installés. Selon Microsoft, le groupe Hafnium serait intéressé de prime abord par des organisations américaines dans l’industrie, la santé, la défense, la politique ou l’éducation supérieure.
Mais comme on ne peut jamais être certain des objectifs réels d’un hacker, il est important de savoir si l’on est infecté ou pas, ce que permet justement de faire un script mis au point par Microsoft et disponible sur GitHub. Mais ça, ce n’est que le début. Selon l’agence de cybersécurité allemande BSI, les serveurs Exchange disposent souvent de droits élevés dans l’annuaire Active Directory. Ce qui veut dire que les hackers pourraient assez facilement prendre le contrôle du domaine réseau et s’infiltrer partout. Compte tenu du nombre de systèmes infectés, le travail forensique qu’il faudra faire est donc énorme.
source : 01net