Kevin Beaumont, un ancien membre du personnel de sécurité de Microsoft, a averti que les vulnérabilités des serveurs de messagerie Microsoft Exchange sont exploitées en masse par les cybercriminels, car les entreprises ne sont pas correctement averties des systèmes à corriger.
Dans son blog DoublePulsar, Beaumont a averti que de nombreuses organisations ne semblent pas avoir corrigé, ce qui a conduit à l'exploitation massive des vulnérabilités. Il a en outre ajouté que des centaines de systèmes du gouvernement américain sont exposés, la cybersécurité et la sécurité des infrastructures (CISA) du Département de la sécurité intérieure émettant une alerte dimanche.
"Il s'agit de vulnérabilités d'exécution de code à distance pré-authentifiées (aucun mot de passe requis), ce qui est aussi grave que possible"
Il a affirmé que Microsoft savait déjà que cela finirait par faire exploser un incident international pour les clients. Et bien que Microsoft ait publié des correctifs il y a 5 mois, il n'avait pas attribué les numéros d'identification standard des vulnérabilités, ce qui aurait permis aux utilisateurs de déterminer relativement plus facilement ce qui devait être corrigé.
Beaumont a ajouté que :
"Cela a créé une situation dans laquelle les clients de Microsoft ont été mal informés de la gravité de l'un des bogues de sécurité d'entreprise les plus critiques de l'année"
Veuillez noter que Microsoft n'a pas répondu à la demande de commentaires sur les allégations de Beaumont au moment de la publication de son rapport.
Alors que de nombreux groupes de piratage en ont profité pour exploiter ces vulnérabilités, un groupe reconnu est LockFile, qui a été vu en train de profiter des failles corrigées pour la première fois en mars par Microsoft. Ce groupe de piratage avait déjà été lié à de nombreuses attaques de rançongiciels principalement en Asie et aux États-Unis dans les secteurs de la fabrication, de l'ingénierie, du tourisme et de la finance, selon un article de blog d'une organisation de sécurité appelée Symantec. Le poste comprenait en outre le groupe qui a été mentionné pour la première fois le 20 juillet dans le réseau d'une organisation financière américaine.
Beaumont a également confirmé qu'il avait identifié des milliers de serveurs Exchange non corrigés au Royaume-Uni à l'aide de l'application Web Outlook, dont plusieurs sur le domaine gov.uk et deux sur police.uk.
À ce sujet, le National Cyber Security Center du Royaume-Uni a déclaré qu'il était conscient de l'activité mondiale impliquant les vulnérabilités des serveurs Microsoft Exchange qui étaient auparavant exposées à être ciblées actuellement.
L'organisation a déclaré:
"A ce stade, nous n'avons pas vu de preuves de compromission d'organisations britanniques, mais nous continuons à surveiller l'impact. Le NCSC exhorte toutes les organisations à installer les dernières mises à jour de sécurité pour se protéger et à signaler toute compromission suspectée via notre site Web ».
"Le NCSC exhorte toutes les organisations à installer les dernières mises à jour de sécurité pour se protéger et à signaler toute compromission suspectée via notre site Web", a ajouté l'organisation.
Relatant l'ensemble de l'étrier, un porte-parole de Mandiant – une société américaine de cybersécurité, a déclaré à Sky News qu'ils avaient observé "toute une gamme d'industries" ciblées par des pirates.
Le porte-parole a ajouté :
"Il est difficile d'attribuer cette activité à un groupe d'acteurs malveillants, car de nombreux exemples de code d'exploitation de preuve de concept ont été développés et rendus publics par des chercheurs en sécurité".
"Cela signifie que n'importe quel groupe pourrait tirer parti de l'exploit et que les organisations qui n'ont pas corrigé sont vulnérables aux attaques", a averti le porte-parole, ajoutant en outre que le taux de correctifs "reste faible" et a exhorté les entreprises à exécuter les correctifs dès que possible pour éviter plus de dégats.
Avec la nouvelle vague de cyberattaques, on se demande quels seront les impacts de ces vulnérabilités sur les utilisateurs de messagerie Microsoft Exchange partout dans le monde.
L'augmentation du nombre d'attaques ciblant les serveurs Microsoft Exchange a commencé après que Microsoft a émis un avertissement plus tôt cette année mettant en évidence la campagne mondiale de piratage, ciblant également spécifiquement ces serveurs, qui sont mentionnés comme appartenant à des pirates parrainés par l'État dont le siège est en Chine.
Selon une estimation, 400 000 serveurs du monde entier ont été compromis dans une campagne d'espionnage de masse.
Le gouvernement britannique a agressivement souligné les techniques que les cyberespions chinois utilisaient pour obtenir et conserver l'accès aux serveurs compromis, ce qui rendait également ces serveurs vulnérables aux criminels.
Alors que les personnes impliquées dans le cyberespionnage ont généralement recours à une simple observation silencieuse sans perturber les réseaux ciblés, les criminels, d'autre part, font généralement de grands efforts pour perturber les réseaux compromis en exécutant des attaques de ransomware – conduisant finalement les fichiers critiques sensibles à devenir irrécupérables à moins que et jusqu'à ce que les victimes de l'attaque paie des frais d'extorsion élevés.
Le mois dernier encore, le gouvernement britannique et ses alliés ont accusé de manière flagrante la Chine de "cyber sabotage systématique" en association avec ladite campagne.
Parallèlement, des sous-traitants embauchés par le cyber-renseignement de Pékin ont été accusés de mener «des cyber-opérations non autorisées dans le monde entier… pour leur propre profit» par le gouvernement britannique. Cependant, il n'est pas tout à fait clair si les opérations non autorisées visaient à exploiter l'accès mis en place par la campagne d'espionnage non autorisée.
La récente frénésie de nouvelles cyberattaques est la seule raison pour laquelle Microsoft est soudainement à nouveau dans l'actualité. Tout récemment, des nouvelles ont fait surface sur le nouveau système d'exploitation Windows 11 qui devrait sortir en octobre 2021 et sur la façon dont les cybercriminels ont commencé à exploiter ses fichiers d'installation pour injecter divers logiciels malveillants dans les appareils des utilisateurs.
Bien qu'il ne soit pas clair comment Microsoft corrigera les vulnérabilités potentielles, il est toujours judicieux de rester prudent en ce qui concerne les statistiques de cybersécurité. Même quelque chose d'aussi simple que Microsoft Excel peut être exploité pour exécuter des attaques de phishing à grande échelle.
La projection de futures attaques de phishing est effrayante et devrait nous concerner tous. L'APWG a signalé que les sites Web d'hameçonnage étaient passés d'un nombre de 138 328 à 266 387 au cours de la courte période entre le quatrième trimestre de 2018 et le troisième trimestre de 2019. Ce qui est encore plus préoccupant, c'est le fait que toute information volée devient disponible sur le Dark Web pour que les enchérisseurs l'achètent et l'utilisent à des fins malveillantes.