De plus en plus de malfaiteurs se ruent sur ProxyLogon, une chaîne de vulnérabilité dans Microsoft Exchange. Ils essaient de profiter du manque de réaction de leurs cibles pour dérober des informations confidentielles et installer des malwares.

Depuis que Microsoft a publié un correctif pour une série de quatre vulnérabilités dans son logiciel Microsoft Exchange, les hackers s’intéressent plus que jamais à ces failles. C’est un paradoxe habituel dans la cybersécurité. Les éditeurs de logiciel doivent réparer les vulnérabilités lorsqu’elles sont exploitées, ou pour éviter qu’elles ne le soient. Mais ce faisant, elles alertent sur l’existence des failles. Le message sera reçu par les utilisateurs, mais aussi par les cybercriminels. En conséquence, une course contre-la-montre est engagée entre les organisations qui doivent patcher leur logiciel et les malfaiteurs qui veulent créer des outils pour exploiter les vulnérabilités.

Si vous n’avez pas suivi le début de l’affaire, Exchange est un service utilisé par les organisations pour gérer les adresses email, les carnets de contact et les agendas de leurs employés. La chaîne de vulnérabilité, désormais connue sous le nom de ProxyLogon, permet de mettre la main sur toutes les communications de la victime, et de se servir de son service d’email comme moyen de propagation d’autres malwares. De quoi attirer les convoitises.

« Au moins 10 » groupes de hackers avancés attaquent les utilisateurs de Microsoft Exchange

Lorsque Microsoft a publié ses correctifs, il accusait Hafnium, un groupe de hackers affilié à la Chine, d’avoir exploité la faille. Hafnium est un APT (advanced persistent threat), un type de groupe d’élite financé par un État. La finalité de ses opérations s’approche de celle d’une agence de renseignement (espionnage, dissuasion…) là où les groupes de cybercriminels cherchent avant tout le profit financier. Si Hafnium semble avoir découvert ProxyLogon en premier et l’a exploité dès janvier 2021, « au moins 10 APT » prennent désormais d’assaut les serveurs non patchés de Microsoft Exchange, estiment les chercheurs de ESET le 10 mars 2021.

Microsoft accuse la Chine d’avoir attaqué des serveurs Microsoft Exchange. // Source : Flickr / Office of the Secretary of Defence

Les APT ont de nombreuses cibles à disposition : selon les estimations, plusieurs dizaines de milliers de serveurs sont encore vulnérables. Déployer un patch n’est pas une tâche très difficile, mais elle reste plus complexe qu’une simple mise à jour de Windows ou macOS sur votre ordinateur. Certaines organisations, plus petites ou moins bien financées, n’ont pas forcément les compétences ou les outils en interne pour réagir rapidement.

Et ce n’est pas tout. Comme si la situation n’était pas assez critique, des chercheurs en cybersécurité peu précautionneux commencent à donner de plus amples détails sur les vulnérabilités. Un chercheur vietnamien a même publié sur GitHub une preuve de concept (PoC) de l’attaque. Autrement dit, il démontre comment exploiter ProxyLogon. The Record a interrogé plusieurs experts sur la qualité de son outil : tous expliquent qu’ils ont dû l’ajuster, mais qu’il fonctionne. C’est un vrai problème : même si le chercheur n’a pas de mauvaise intention, les « méchants hackers » lisent autant ce genre de publications que les « gentils hackers ». En présentant son PoC, il donne des armes aux cybercriminels qui n’avaient pas suffisamment de compétences pour les créer eux-mêmes.

La crainte rançongiciel

Justement, les chercheurs craignent qu’en plus des APT, des cybercriminels moins experts commencent à exploiter la faille. Ils songent notamment aux opérateurs de rançongiciels, qui pourraient utiliser ProxyLogon comme point d’entrée sur les réseaux de leurs victimes, avant de déployer leurs malwares capables de paralyser toute l’organisation. Mais pour l’instant, ces craintes ne se sont pas réalisées. C’est tout juste si Dave Kennedy fondateur de TrustedSec, affirme avoir détecté que des malfaiteurs utilisent la vulnérabilité pour installer des malwares de minages de cryptomonnaies. Ces logiciels malveillants exploitent la puissance de calcul des machines de la victime pour participer à la blockchain et ainsi récolter des cryptomonnaies sans frais.

Pour l’instant les victimes de l’attaque se murent pour la plupart dans le silence. Le parlement norvégien fait partie des exceptions : il a affirmé le 10 mars que des hackers étaient parvenus à exploiter les vulnérabilités pour s’introduire dans son réseau informatique, et voler des données. Il pourrait être le premier d’une longue série.

Crédit photo de la une : Louise Audry pour Numerama.

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux