Chez Microsoft, on a les Patch Tuesday, et on a les autres. Les autres sont généralement les plus inquiétants : c’est le cas d’un nouveau patch diffusé par Microsoft, à destination des serveurs Exchange (2013, 2016 et 2019, Exchange 2010 n’est pas directement affecté, mais a également le droit à un correctif). Les failles corrigées sont identifiées par quatre CVE : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.
Ces différentes failles permettent d’élever les privilèges, de contourner des outils d’authentification et de prendre le contrôle à distance d’un serveur Exchange attaqué.
Microsoft explique que l’attaque nécessite une capacité des attaquants à établir une connexion avec le serveur visé sur le port 443 : il s’agit néanmoins de l’étape d’accès initial, et les autres failles de sécurité restent exploitables une fois que les attaquants ont accédé au serveur.
Prises séparément, elles pourraient être considérées comme mineures, mais Microsoft explique que ces failles de sécurité sont utilisées ensemble par un groupe de cybercriminels, Hafnium, qui les emploient pour voler des données.
Vous avez dit Hafnium ?
Microsoft détaille les agissements du groupe dans un post de blog. Le groupe est associé à la Chine, d'après Microsoft, et vise principalement des entités américaines dans différents secteurs.
Pour limiter la casse et du fait de l’activité constatée du groupe Hafnium, Microsoft a donc choisi de ne pas attendre le traditionnel Patch Tuesday pour proposer un correctif à destination des serveurs Exchange. Pour ceux qui ne pourraient pas appliquer rapidement le patch, Microsoft suggère des mesures d’atténuation : limiter les connexions non authentifiées sur le port 443 ou l’utilisation d’un VPN pour limiter l’accès au serveur Exchange depuis l’extérieur, mais Microsoft rappelle que ces mesures ne protègent pas entièrement des effets de ces failles, qui pourraient être exploitées au travers d’un autre vecteur que celui employé par Hafnium.
