Des hackers chinois exploitent un bug dans Exchange Server

Microsoft a déclaré qu’un groupe hautement qualifié opérant depuis la Chine avec des méthodes sophistiquées avait tenté de voler des informations à un certain nombre d’institutions américaines. Des universités, des entrepreneurs de la défense, des cabinets d’avocats et des chercheurs en maladies infectieuses comptaient parmi les cibles.

Des mises à niveau de sécurité pour corriger les vulnérabilités

Des pirates informatiques du gouvernement chinois ont exploité un bug dans le serveur de messagerie de Microsoft pour cibler des organisations américaines. Microsoft a déclaré avoir publié des mises à niveau de sécurité pour corriger les vulnérabilités de son logiciel Exchange Server.

Ce logiciel est utilisé pour les services de messagerie et de planification professionnels. Il s’adresse principalement aux grandes organisations qui ont leurs propres serveurs de messagerie. Cela n’affecte pas les comptes de messagerie personnels ni les services cloud de Microsoft.

Mode opératoire des hackers

Connus sous le nom de Hafnium, les hackers ont su tromper les serveurs Exchange. Ils se sont fait passer pour un utilisateur authentifié pour y accéder. Ils ont ensuite trouvé le moyen de contrôler les serveurs à distance et voler les données de victimes ciblées. 

Microsoft a déclaré que le groupe était basé en Chine, mais fonctionnait à partir de serveurs privés virtuels en location depuis les États-Unis. Avec cette technique, il est quasiment impossible de remonter jusqu’aux auteurs des faits. Dans cette affaire, Microsoft a refusé de citer les cibles et le nombre de victimes.

Une intrusion détectée par société Volexity

La société de cybersécurité Volexity basée à Reston en Virginie aurait été la première à détecter les intrusions. Son service de sécurité aurait commencé à détecter des transferts de données anormaux vers la fin du mois de janvier.

Steven Adair, président de Volexity, craint que le groupe n’accélère les activités de piratage dans les prochains jours avant que les cibles n’installent les mises à niveau de sécurité de Microsoft. Cela leur donne le temps d’exploiter davantage les serveurs surtout que le correctif ne résoudra rien si la porte dérobée est toujours là. 

Pin It on Pinterest