Homeland Security déclare l'attaque de Microsoft Exchange "d'urgence"

Homeland Security a déclaré une attaque en cours contre Microsoft Exchange comme une urgence. Les attaques, qui ont commencé plus tôt cette semaine, ciblent les serveurs Microsoft Exchange, enchaînant plusieurs exploits zero-day pour accéder à des comptes de messagerie sécurisés.

Sécurité intérieure: l'attaque est un «risque inacceptable»

Homeland Security émis Directive d'urgence 21-02 tard le 3 mars, fournissant des informations générales sur l'attaque de Microsoft Exchange.

Les partenaires CISA ont observé une exploitation active des vulnérabilités dans les produits Microsoft Exchange sur site. Ni les vulnérabilités ni l'activité d'exploitation identifiée ne sont actuellement connues pour affecter les déploiements Microsoft 365 ou Azure Cloud. L'exploitation réussie de ces vulnérabilités permet à un attaquant d'accéder aux serveurs Exchange sur site, ce qui leur permet d'obtenir un accès permanent au système et le contrôle d'un réseau d'entreprise.

La directive explique ensuite qu'une attaque de cette nature «pose un risque inacceptable pour les agences du pouvoir exécutif civil fédéral et nécessite une action d'urgence».

La sécurité intérieure a fixé le vendredi 5 mars à 12 h 00 HNE, pour que les agences fédérales se conforment aux protocoles d'analyse et d'atténuation définis dans la directive.

Actuellement, chaque agence doit identifier ses serveurs Microsoft Exchange, effectuer un triage médico-légal de son système mémoire, journaux et ruches de registre, puis analysez les résultats pour tout indicateur de vol d'informations d'identification ou autre compromis.

En rapport: Les meilleures alternatives gratuites à Microsoft Outlook

Qui attaque les serveurs Microsoft Exchange?

Microsoft a clairement indiqué le chiffre à un groupe de piratage de l'État-nation chinois connu sous le nom de HAFNIUM. Habituellement, les entreprises mettent un peu plus de temps avant de s'engager à nommer un suspect, mais Microsoft ne doute guère qu'un «acteur hautement qualifié et sophistiqué» est à l'origine de l'attaque.

Microsoft Threat Intelligence Center (MSTIC) attribue cette campagne avec une grande confiance à HAFNIUM, un groupe évalués comme étant parrainés par l'État et opérant hors de Chine, sur la base de la victimologie, des tactiques et procédures.

Cela s'explique en partie par le fait que l'attaque de Microsoft Exchange associe quatre vulnérabilités jusque-là inconnues. Vous pouvez lire les détails sur le officiel Blog sur la sécurité Microsoft.

Microsoft note également qu'il a observé HAFNIUM interagir avec sa suite Microsoft Office 365, à la recherche de vulnérabilités. Il a également confirmé que cette attaque n'avait aucun rapport avec SolarWinds, l'énorme cyberattaque qui a touché plusieurs agences gouvernementales américaines, ainsi que plusieurs grandes entreprises technologiques.

En rapport: Microsoft révèle la cible réelle de la cyberattaque SolarWinds

La bonne nouvelle est que, bien que ces attaques se poursuivent et constituent une menace importante contre Microsoft Serveurs Exchange, l'équipe de sécurité Microsoft a déjà déployé une série de correctifs pour atténuer les vulnérabilités.

Vous pouvez trouver plus de détails concernant les correctifs Microsoft Exchange Server sur le Site de la communauté Microsoft Tech, y compris comment télécharger et installer les mises à jour ainsi que comment analyser vos serveurs Exchange à la recherche de signes de compromission.

6 façons simples de renforcer la sécurité dans Microsoft Defender et Windows 10

Microsoft Defender est un outil de sécurité intégré à Windows 10. Rendez-le encore meilleur avec ces 6 améliorations de sécurité faciles.

A propos de l'auteur