Microsoft a détecté l’exploitation active de multiples exploits jour zéro pour attaquer des serveurs Exchange sur les sites d’entreprises et d’organisations, au cours d’un nombre « limité et ciblé d’attaques ».
Les risques encourus par les victimes seraient les vols de courriels ainsi que l’installation de logiciels malveillants supplémentaires afin de faciliter un accès à long terme aux environnements des victimes.
Microsoft Threat Intelligence Center (MSTIC) attribue cette campagne avec une confiance élevée à HAFNIUM, un groupe de pirates sans doute parrainé par l’État Chinois, mais opérant hors de Chine.
Il s’intéresserait surtout aux entreprises et entités américaines dans de nombreux domaines, dont la recherche sur les maladies infectieuses, les cabinets d’avocats, les établissements d’enseignement supérieurs, les entreprises de défense, les groupes de réflexion politique et les organisations non gouvernementales.
HAFNIUM exploite principalement des serveurs virtuels privés aux États-Unis.
Les vulnérabilités, de référence CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, et CVE-2021-27065, ont été adressées par de multiples correctifs de sécurité, que Microsoft encourage ses clients à installer sans tarder.
Volexity et Dubex ont contribué à alerter Microsoft et collaborer durant l’enquête. Volexity a publié un billet sur son blogue détaillant son analyse.
Microsoft fournit des informations supplémentaires afin de détecter si l’on a été victime des pirates.
Cette campagne de piratage ne serait pas liée à SolarWinds, la campagne de piratage contre les institutions fédérales américaines, suspectée d’origine russe.