Tom Burt, Corporate Vice President, Customer Security & Trust de Microsoft, avertit dans un billet de blog : ” Nous partageons des informations sur un acteur de la menace parrainé par un État identifié par le Microsoft Threat Intelligence Center (MSTIC) et que nous appelons Hafnium. Hafnium opère depuis la Chine (…). C’est un acteur hautement qualifié et sophistiqué.”
Tom Burt explique que Hafnium a récemment lancé un certain nombre d’attaques utilisant des exploits jusque-là inconnus ciblant le logiciel Exchange Server sur site. “À ce jour, Hafnium est le principal acteur que nous avons vu utiliser ces exploits.”
Les attaques comprennent trois étapes, détaille-t-il. D’abord un accès à un serveur Exchange avec des mots de passe volés ou en utilisant des vulnérabilités non découvertes. Ensuite, le contrôle à distance du serveur compromis. Enfin, l’utilisation de cet accès à distance – exécuté à partir de serveurs privés basés aux États-Unis – sert à voler des données sur le réseau d’une organisation.
De fait, Tom Burt invite les utilisateurs à installer les mises à jour de sécurité : “Nous encourageons vivement tous les clients Exchange Server à appliquer ces mises à jour immédiatement“, avant d’ajouter : “Exchange Server est principalement utilisé par les clients professionnels et nous n’avons aucune preuve que les activités de Hafnium ciblaient des consommateurs individuels ou que ces exploits aient un impact sur d’autres produits Microsoft“.
“Nous savons que de nombreux acteurs étatiques et des groupes criminels agiront rapidement pour tirer profit de tout système non corrigé“, prévient-il. “Appliquer rapidement les correctifs est la meilleure protection contre cette attaque“.
Dans un récent rapport, l’éditeur en cyberécurité Check Point a montré que 83 % de tous les vecteurs d’attaque étaient basés sur le courrier électronique, et que certaines des cyberattaques les plus importantes au monde se sont produites suite à des vulnérabilités trouvées dans des plateformes très populaires,