Rebelote ? En mars 2021, Microsoft dévoilait que des hackers chinois avaient exploité des failles de son logiciel Exchange, rapidement baptisées Proxylogon, pour voler des données à plusieurs de ses clients. Un an et demi plus tard, des chercheurs de l'entreprise GSTC avertissent que deux nouvelles vulnérabilités dites "zero day", c'est-à-dire sans correctif, sont exploitées par des hackers pour espionner les emails relayés par Microsoft Exchange. Cette mise en garde a été confirmée par l'éditeur quelques heures plus tard.
Microsoft Exchange est de ces logiciels que beaucoup d'employés utilisent sans le savoir. Il sert à centraliser tous les emails reçus par les membres d'une organisation et à les faire suivre aux destinataires. Il se cache sûrement derrière votre messagerie Outlook, et est utilisé par des milliers d'entreprises. Autant dire que lorsque ce logiciel est visé par des cyberattaques qui profitent de failles inconnues, de nombreux services de cybersécurité se mettent en branle-bas de combat. Pour cause : en bout de chaîne, ce genre d'attaque permet d'espionner le contenu des boîtes email, de diffuser des logiciels malveillants dans le réseau de l'entreprise ou encore d'usurper l'identité des employés de l'organisation victime.
RCE, synonyme de danger
Si les deux failles inquiètent autant, c'est parce qu'elles permettent de faire du RCE (remote code execution), un acronyme redouté dans le monde de la cybersécurité, puisqu'il signifie que l'attaquant peut faire des modifications sur la machine de la victime, sans y avoir un accès physique. Autrement dit, il peut lancer toute son attaque à distance.
Comme pour Proxylogon, les individus malveillants exploitent les failles dans le but de déployer des webshells -des sortes d'interfaces de contrôle cachées auxquels seuls les hackers ont accès. Grâce à cet outil, ils peuvent s'installer sur la durée chez leurs victimes, afin de voler des données, d'envoyer des emails au nom des employés de l'organisation, ou encore de se répandre sur le réseau. Ni les chercheurs ni Microsoft ne précisent encore l'ampleur des dégâts ni le nombre de victimes, mais il s'agirait vraisemblablement de campagnes d'espionnage stratégique ou industriel très ciblées.
De son côté, Microsoft tente de tempérer la gravité de la faille en précisant qu'elle ne peut être exploitée que par des attaquants authentifiés, c'est-à-dire des hackers qui auraient obtenu l'accès à un compte utilisateur de l'organisation victime au préalable. Le chercheur très réputé Kevin Beaumont contredit cette nuance en expliquant qu'il peut s'agir de n'importe quel compte, ce qui rend l'attaque assez facilement réalisable. Microsoft précise également que les clients de son service Exchange Online (la version qu'il gère lui-même) n'ont pas à réagir car il a déjà pris les mesures de détections et de protections nécessaires.
Microsoft trop long à réagir ?
L'équipe de sécurité à l'origine de la découverte a alerté Microsoft il y a plus de 3 semaines via la Zero Day Initiative (ZDI), un programme de remontée des failles zero day contre récompense, opéré par l'entreprise japonaise Trend Micro. Concrètement, ce dernier confirme la gravité de la faille puis contacte l'éditeur du logiciel vulnérable. La ZDI a noté la criticité [la potentielle dangerosité, ndlr] des deux vulnérabilités à 8,8 et 6,3 sur 10 sur l'échelle CVSS, communément utilisée dans le milieu, puis l'a remontée à Microsoft.
Mais après avoir laissé 3 semaines à Microsoft pour déployer un correctif, sans qu'il n'aboutisse, les chercheurs de GTSC ont décidé de publier leurs trouvailles, afin que les clients de Exchange puissent prendre des mesures de protection adéquates. Ils ont ainsi donné quelques techniques pour bloquer les attaques le temps que le patch de correction arrive, en plus d'indiquer aux responsables réseaux une méthode pour vérifier si des hackers ont déjà exploité la faille sur leurs systèmes. Tout le détail de ces procédures se trouve sur le site expert Bleeping Computer.
Pour éviter que ces nouvelles failles soient exploitées par n'importe qui, les chercheurs sont tout de même restés avares en précisions techniques. Ils ont simplement expliqué qu'elles sont similaires (sans être identiques) à celles connues sous le nom de Proxylogon, qui avaient marqué l'année 2021 et créé un véritable branle-bas de combat dans le monde de la cybersécurité. Grossièrement, ces nouvelles failles passent par le même chemin, mais profitent de défauts de conception légèrement différents.
La Chine de nouveau accusée ?
D'après les chercheurs de GTSC, les attaquants utilisent un webshell particulier, connu sous le nom China Chopper [le hachoir de Chine, ndlr] car il est très utilisé par les groupes de hackers commandités par l'Etat chinois, et qu'il serait codé en chinois. En conséquence, les experts soupçonnent la Chine d'être à l'origine de la campagne d'attaque, d'autant plus que des éléments d'un autre outil chinois, baptisé Antsword, sont également utilisés par les hackers. Pour compléter ce profil du parfait suspect, Microsoft avait formellement accusé le groupe de hackers Halfnium, qui serait commandité par l'Etat chinois, d'être à l'origine des attaques par Proxylogon.
Pour autant, l'attribution d'une cyberattaque n'est pas chose facile, car un groupe d'un autre pays pourrait utiliser les outils des hackers chinois pour brouiller les pistes. Mais la Chine est réputée pour sa stratégie agressive dans le cyberespace, et son manque relatif de discrétion.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés