Aux grands maux les grands remèdes. Prises au piège des redoutables failles Proxylogon attribuées au cybergang chinois Hafnium, de nombreuses entreprises américaines - mais pas que - souffrent. Pour les sortir de ce traquenard, le FBI a obtenu l'autorisation de la Cour du district Sud du Texas pour intervenir directement pour désinstaller les commandes malveillantes encore présentes sur leurs serveurs Exchange compromis. « Cette opération supprime les web shells restants d'un des premiers groupes de piratage qui auraient pu être utilisées pour maintenir et accroitre l'accès persistant et non autorisé aux réseaux informatiques américains », a déclaré le département de la Justice dans un communiqué.

Il s'agit d'une mesure historique. Cette décision judiciaire - dont le document qui s'y rapporte a été rendu public mais caviardé - autorise le FBI à saisir et copier des données contenues dans des serveurs Exchange localisés aux Etats-Unis sans demander l'aval aux sociétés concernées. Le nombre global de web shells malveillants tout comme ceux déjà nettoyés est connu du FBI et de la Justice mais n'a pas été rendu public. Concrètement, le bureau fédéral « a procédé à la suppression en envoyant au serveur une commande par le biais du web shell, conçue pour que le serveur supprime uniquement le shell web compromis », explique le DoJ.

Des infections dès janvier 2021

Le FBI enquête sur des intrusions dans des serveurs Exchange de nombreuses entreprises aux Etats-Unis relatives aux exploits zero-day en particulier au Texas, Illinois, Ohio, Idaho, Louisiane et Iowa. Ces derniers ont été rendus possibles par le biais des failles Proxylogon permettant à des pirates de compromettre leur réseaux informatiques et d'accéder à des données sensibles. Si Microsoft a officiellement fait état de cette vulnérabilité le 2 mars 2021, le FBI a de son côté identifié que des compromissions ont eu lieu avant cette date, très probablement dès janvier 2021. Les cibles visées ont été variées, avec un focus sur des acteurs institutionnels, de la Défense ou encore de l'industrie stratégique.

Ces entreprises et institutions pourront appliquer sans plus attendre le Patch Tuesday dévoilé hier par Microsoft. Ce bulletin corrige plusieurs failles critiques dans Exchange Server, dont une découverte par la NSA.