Au palmarès des pays hébergeant le plus de cybergangs, on ne peut pas dire que la Chine soit dernière du classement (APT 25, 30, 41, 41...). Parmi ceux bénéficiant d'un appui de niveau étatique, on retrouve Hafnium qui a dans son collimateur principalement des cibles américaines avec pour but d'exfiltrer des données d'entreprises et organisations de secteurs variés et stratégiques (industrie, défense...). Selon Microsoft, Hafnium bénéficierait d'un appui de niveau étatique lui permettant d'agir efficacement grâce à de solides moyens financiers, techniques et humains. 

Hafnium fait aujourd'hui parler de lui, Microsoft ayant détecté de multiples exploits zero day visant des versions on premise de serveurs Exchange. La particularité de cette cyberattaque est d'être concentrée sur un nombre restreint de cibles sans que l'on en sache officiellement plus sur les victimes potentielles. « Dans les attaques observées, l'acteur de la menace a utilisé ces vulnérabilités pour accéder aux serveurs Exchange locaux qui permettaient l'accès aux comptes de messagerie et l'installation de logiciels malveillants supplémentaires pour faciliter l'accès à long terme aux environnements victimes », a expliqué Microsoft.

D'autres cybergangs sur la brèche

Les vulnérabilités exploitées par Hafnium, à savoir les CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065, ont toutes reçu des correctifs qu'il convient donc d'appliquer dès que possible. Les versions des serveurs Exchange affectés sont 2013, 2016 et 2019. « Ces vulnérabilités sont utilisées dans le cadre d'une chaîne d'attaque. L'attaque initiale nécessite la possibilité d'établir une connexion non approuvée au port 443 du serveur Exchange. On peut s'en protéger en limitant ces connexions ou en configurant un VPN pour séparer le serveur Exchange de l'accès externe », a indiqué l'éditeur.

Le fait que Microsoft n'attende pas le prochain Patch tuesday - pourtant proche - pour publier ces correctifs montre le caractère urgent de la situation. Une situation d'autant plus problématique que d'autres cybergangs n'hésiteront pas à lancer leurs propres opérations malveillantes, exposant d'autant plus les entreprises qui n'auraient pas encore mis à jour leurs serveurs Exchange. « Nous nous attendons à ce que d'autres acteurs de la menace commencent à exploiter ces vulnérabilités dans les jours et les semaines à venir, c'est pourquoi il est d'une importance cruciale pour les organisations qui utilisent Exchange Server d'appliquer ces correctifs immédiatement », s'est inquiété Satnam Narang, chercheur en cybersécurité chez Tenable.