Archives par mot-clé : microsoft exchange

Microsoft Exchange : largement ciblé par les pirates informatiques

Le mois dernier, la société de cybersécurité Kaspersky signifie que le nombre d’utilisateurs des services de messagerie de Microsoft, qui était ciblés par des attaques informatiques avait grandement augmenté.

Les cybercriminels exploitent des failles de sécurité inhérentes au système lui-même. Les cherchons de la société de sécurité informatique estime une hausse de 170 %. On est passé après de 7 342 attaques à 19 839. On compte, la France parmi les 10 pays les plus attaquées avec prêt de 845 utilisateurs uniques grâce à ses failles de sécurité.

Cet article va aussi vous intéresser : Les conséquences qu’il faut attendre des failles de sécurité de Microsoft Exchange

Les chercheurs de Kaspersky expliquent cette hausse par plusieurs tentatives visant à exploiter des failles de sécurité qui ont déjà été divulguées, ajouté au fait que les utilisateurs ne déploient pas à temps les mises à jour nécessaire pour combler ses failles de sécurité.

2021 aura vu une grosse exploitation des failles de sécurité liées au serveur de Microsoft Exchange. En mars dernier la société de Redmond déclarait ouvertement que plusieurs vulnérabilités de catégorie 0 day avaient pu être exploitées par des pirates informatiques ce qui aurait pu avoir pour conséquence une vague de cyberattaques contre plusieurs entreprises reparties dans le monde entier.

Cependant la société n’a pas tardé à déployer des mises à jour de sécurité pour combler ces différentes vulnérabilités ProxyShell que sont :

– CVE-2021-34473 ;

– CVE-2021-34523 ;

– CVE-2021-31207.

Ces vulnérabilités constituent de véritables au menace à prendre au sérieux. Grâce à celles ci, il est possible pour des pirates informatiques de contourner les méthodes d’authentification nécessaires à l’exécution d’un code dans le système informatique, avec un statut d’utilisateur privilégié. Si depuis un moment déjà les correctifs sont disponibles, les cybercriminels quant à eux n’hésitent à aucun moment d’exploiter c’est vulnérabilité à travers des tentatives de phishing par exemple. Selon Kaspersky, c’est près de 74 274 utilisateurs de ces solutions de sécurité qui ont été ciblées ces 6 derniers mois.

Par ailleurs, depuis le 21 Août l’avait pressenti l’agence américaine de sécurité des infrastructures, la CISA, avait annoncé dans un avis que les vulnérabilités ProxyShell était activement exploité par des pirates informatiques. Ce qui permet de confirmer la cause de cette récente de vague de piratage à tout bout de champ.

De son côté, Microsoft avait prévenu que les serveur Exchange étaient vulnérables lorsque les mises à jour qui se cumulent n’inclut et pas celui du mois de mai.

Toujours selon des chiffres fournis par Kaspersky, c’est près de 1 700 utilisateurs par jour qui ont été ciblés par des attaques voulant exploiter les vulnérabilités ProxyShell, et ce durant les dernières semaines du mois d’août. D’où cette hausse énorme de 170 pourcents du nombre de personnes victimes d’attaque par rapport au mois de juillet.

« Il n’est pas surprenant que ces vulnérabilités soient activement exploitées. Très souvent celles ayant été divulguées récemment et dont les correctifs ont été publiés par les développeurs représentent une menace encore plus grande, car elles deviennent accessibles à de nombreux cybercriminels qui tentent de les exploiter pour infiltrer un maximum de réseaux. Cette vague d’attaques démontre une fois de plus qu’il est essentiel de patcher les vulnérabilités le plus tôt possible pour éviter toute atteinte aux réseaux. Nous conseillons vivement de suivre les récentes recommandations émises par Microsoft afin de limiter les risques », commente Evgeny Lopatin, chercheur en cybersécurité chez Kaspersky.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La justice américaine autorise le FBI à pirater les ordinateurs

Dans une décision de justice, un tribunal de Houston donne la permission à la police fédérale américaine à savoir le FBI de pouvoir « copier et supprimer » les portes dérobées issu de la faille de sécurité des serveurs de messagerie de Microsoft Exchange sur le territoire américain.

Et cela quelques mois juste après que les vulnérabilités qui n’ont pas vite été découvertes aient été la cause de plusieurs attaques informatiques touchant des milliers de réseaux à travers le monde entier.

Les ordinateurs concernés par la faille de sécurité ont permis aux cybercriminels d’exécuter des versions corrompues de site internet du logiciel de Microsoft Exchange entre le mois de janvier et de février 2021.  Les autorités ont qualifié cette opération de réussie.

Cet article va aussi vous intéresser : Les agences gouvernementales Américaines et entreprises privées aurait été ciblées par des pirates informatiques selon le FBI

 Et ce n’est pas tout, dans la même lancée, le géant américain du numérique Microsoft découvre que des pirates informatiques qui seraient parrainés par l’État chinois connu sous la dénomination d’Hafnium ciblent les entreprises qui utilisent toujours les serveurs Exchange infectés.

On peut retenir que lorsque les quatre failles de sécurité sont utilisées convenablement, les pirates informatiques ont la possibilité de voler le contenu du serveur Exchange de l’entreprise.

Les conséquences ont été plus que dramatiques en sommes. Surtout lorsqu’on sait que 3 000 organisations américaines ont été pendant 2 mois compromises. Les 4 failles de sécurité citées précédemment ont permis d’installer sur plusieurs milliers d’ordinateurs des portes dérobées.

Parmi les victimes, on compte de nombreuses petites entreprises, des organismes du gouvernement américain et des collectivités territoriales et des villes. Même si des correctifs de sécurité ont été déployés par Microsoft depuis lors, cela n’a pas pour autant mis fin à la présence de portes dérobées déjà déployé sur certains serveurs. Conséquences, les pirates informatiques continuent d’attaquer certes et serveur qui sont toujours vulnérables à cause décès même faille de sécurité.

« Le nombre de serveurs infectés par des Web shells illégaux placés sur les ordinateurs a diminué à mesure que les correctifs étaient appliqués par les propriétaires des systèmes infectés. Mais des centaines de serveurs Exchange sont restés vulnérables parce que les portes dérobées sont difficiles à trouver et à éliminer – d’autres propriétaires semblaient incapables de le faire (ou peut-être même inconscients de la présence de la porte dérobée) » déclare le ministère de la Justice lors d’un récent communiqué de presse.

Ce qui explique alors l’intervention de la police fédérale américaine.

« Cette opération a permis de supprimer les derniers Web shells d’un groupe de pirates qui auraient pu être utilisés pour maintenir et accroître un accès persistant et non autorisé aux réseaux américains », précisait le communiqué du département de la justice. « Le FBI a procédé à la suppression en envoyant une commande au serveur par le biais du Web Shell, conçue pour que le serveur supprime uniquement le Web Shell (identifié par son chemin de fichier unique) », continue le communiqué.

Si dans le fond Microsoft a été long pour déployer les patch de sécurité nécessaires pour combler les failles, les entreprises concernées ne sont pas exemptes de tout reproche. En effet, ils ont eu plus de 1 mois pour corriger le propre serveur après les différents alertes liés aux attaques informatiques.

« La meilleure protection consiste à appliquer les mises à jour dès que possible sur tous les systèmes concernés », a signifié le mois dernier un porte-parole de la firme de Redmond. « Nous continuons à aider nos clients en leur fournissant des conseils supplémentaires en matière d’investigation et d’atténuation. Les clients touchés doivent contacter nos équipes d’assistance pour obtenir une aide et des ressources supplémentaires », continue ce dernier.

Malheureusement avant l’intervention du FBI, des centaines de terminaux informatiques étaient toujours vulnérables et compromis.

Dans ce contexte la justice américaine, donne à la police fédérale américaine une mission de nettoyage de réseau privé chose que le FBI avait déjà commencé avec succès.

« La suppression des Web shells malveillants, autorisée par le tribunal aujourd’hui, démontre l’engagement du ministère à perturber les activités de piratage en utilisant tous nos outils juridiques, et pas seulement les poursuites judiciaires », a signifié John C. Demers, le procureur adjoint de la division de la sécurité nationale du ministère de la justice

« Si l’on ajoute à cela les efforts déployés jusqu’à présent par le secteur privé et d’autres agences gouvernementales, notamment la publication d’outils de détection et de correctifs, nous montrons ensemble la force que le partenariat public-privé apporte à la cybersécurité de notre pays. Il ne fait aucun doute qu’il reste du travail à faire, mais il ne fait aucun doute non plus que le ministère s’engage à jouer son rôle intégral et nécessaire dans ces efforts », ajoute ce dernier.

De son côté, la police fédérale américaine mentionne que son opération est un succès en amont. Elle profite de l’élan pour mettre en gardant les pirates informatiques potentiels.

« Notre action réussie doit servir à rappeler aux cyberacteurs malveillants que nous imposerons des risques et des conséquences pour les cyber intrusions qui menacent la sécurité nationale et la sécurité publique du peuple américain et de nos partenaires internationaux. Le FBI continuera d’utiliser tous les outils à sa disposition en tant que principale agence nationale d’application de la loi et de renseignement pour tenir les cyberacteurs malveillants responsables de leurs actions », souligne la directrice adjointe par intérim de la division Cyber du FBI, Tonya Ugoretz.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les piratages informatiques qui ont marqué ces 10 dernières années

Selon les chiffres fournis par l’Agence Nationale de sécurité des systèmes d’information, les attaques informatiques se sont littéralement multipliées par 4 ces dernières années.

Bien évidemment cela se comprend vu le contexte dans lequel le monde a été plongé à cause de la pandémie à coronavirus. Pourtant, toutes les attaques qui ont été observées depuis le début de l’année 2020 n’ont pas eu les mêmes portées. Par exemple le 10 mai dernier, l’actualité était au fait de la cyberattaque qui avait secoué le géant américain du réseau pétrolier, Colonial Pipeline. Cela nous a donné l’idée par exemple de faire un point sur les attaques informatiques qui ont marqué d’une manière ou d’une autre la cybersécurité ces 10 dernières années.

1- La cyberattaque contre Yahoo

hacker yahoo

En 2013, la société Yahoo est frappée de plein fouet par une attaque informatique qui est considérée comme étant la plus importante de l’histoire que la cybersécurité. C’est près de 3 milliards de comptes d’utilisateurs qui ont été touchés directement par cet incident de sécurité. En guise de réponse le gendarme américain de la bourse en alors la société qui gère la plate-forme à savoir Altaba une amende de 35 millions de dollars. La raison de cette fonction est la dissimulation de l’attaque informatique.

2- L’attaque contre Sony

Le studio de cinéma américain Sony, est touché en 2014 par une attaque informatique qui aura une conséquence assez dramatique. L’incident de sécurité n’est pas une attaque mais plutôt une vague de cyberattaques. L’attaque a été tellement dommageable que le studio n’a pas pu faire sortir ce qui était appelée à l’époque « l’interview qui tue ». Une interview qui était censée porter sur un complot fictif de la CIA pour l’assassinat du dirigeant De la Corée du Nord, Kim Jong-Un. Selon le gouvernement américain, président est imputable à ce dernier pays. En dépit de tout, cette attaque informatique s’impose en comme étant l’une des plus spectaculaires jamais vu dans le domaine de la cybercriminalité.

3- WannaCry: le rançongiciel de niveau mondial

WannaCry est de loin, l’une des histoires qui aura le plus marqué le monde de l’informatique à tout jamais. En effet, ce programme malveillant aura fait beaucoup plus de dégâts que cela n’était prévu auparavant selon certaines espèces. L’attaque survient exactement en mai 2017, et on comptabilise près de 300 000 ordinateurs infectés à travers le monde reparti dans 150 pays exactement. C’est le début de l’épanouissement des rançongiciels. Ces programmes malveillants qui prennent en otage les systèmes informatiques grâce auquel les pirates informatiques peuvent exiger le paiement de rançon en d’essence des clés de déchiffrement. Il faudrait ajouter par ailleurs que ce programme de rançonnage, aussi célèbre soit-il s’est propagé à travers une faille de sécurité présente dans le système d’exploitation Windows, une faille de sécurité qui avait déjà été corrigée et dans le correctif était déjà disponible.

4- SolarWinds

Vers la fin de l’année 2020, il survient une attaque informatique qui est considérée comme étant la plus grave et là plus impactant de l’histoire de la cybercriminalité. Les pirates informatiques ont profité d’une faille de sécurité présente dans le logiciel Orion, fournie par la société Texane, SolarWinds. La faille de sécurité a été créée par les pirates informatiques en profiter d’une mise à jour pour les distribuer aux clients de la société américaine. Grâce à cela, les cybers malveillants réussissent à Infecter près de 18 000 organisations à travers le monde ce qui inclut plusieurs organisations gouvernementales américaines.

Le pirate informatique a réussi grâce à ce coup à exfiltrer d’innombrables données sensibles venant des grandes entreprises à quelques Microsoft.

Le gouvernement américain de son côté, en avril 2021 accuse le gouvernement russe d’être derrière cette initiative. Dans cette optique, elle annonce plusieurs sanctions financières contre Moscou

En avril 2021, Washington annonce des sanctions financières contre Moscou, à qui elle impute la responsabilité de l’attaque.

5- Microsoft exchange

Cette fois-ci, nous sommes en 2021, précisément durant le mois de mars, le géant américain Microsoft est frappé d’attaque qui touche ses serveurs exchange. Conséquences, les pirates informatiques on peut accéder à des données confidentielles de prêt de 30 000 organisations Américaines incluant des institutions gouvernementales, des structures communales sans oublier les entreprises privées.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les conséquences qu’il faut attendre des failles de sécurité de Microsoft Exchange

Il y a un mois de cela jour pour jour, le géant américain de l’informatique que Microsoft, rendait public la détection de 4 failles de sécurité de type 0 day.

Des failles de sécurité qui ont profité a des cybercriminels pour initier plusieurs formes d’attaques informatiques. Si Microsoft a bel et bien proposé un patch de sécurité pour combler vulnérabilités, toutes les structures vulnérables n’ont pas encore exécuté les mises à jour nécessaire.

Cet article va aussi vous intéresser : Microsoft Exchange : les boîtes e-mails piratées

Si on est sûr d’une chose aujourd’hui, c’est bien sûr que les failles de sécurité ont été belle et bien exploité. Cependant, on ne peut établir avec certitude l’ampleur de ces exploits. On peut juste préciser que 400 000 serveurs ont été exposés dès le début de la faille de sécurité. Une situation qui se présente comme plateau servi pour les pirates informatiques.

De manière ou d’une autre, la réputation de Microsoft est en jeu.

« Les entreprises distribuent les courriers électroniques à leurs employés à l’aide de serveurs de courrier, dont Microsoft Exchange est l’un des plus répandus. Lorsque Microsoft a annoncé l’existence de quatre failles inconnues dans ses serveurs – des « vulnérabilités zero-day » –, elle a aussitôt publié des correctifs. Les vulnérabilités ont été découvertes par au moins deux groupes de chercheurs, au sein de sociétés spécialisées, DevCore (https://devco.re/en/), à Taiwan, et Volexity, aux États-Unis, qui ont averti Microsoft début janvier, en toute discrétion. C’est l’usage. Ce secret permet à l’entreprise de mettre au point des correctifs sans révéler les failles. Souvent, hormis les chercheurs, personne d’autre n’a identifié le problème, de sorte que, au moment où le correctif est publié, les criminels n’ont pas le temps de développer des outils pour l’exploiter… sauf si les entreprises tardent à déployer ces correctifs. C’est là qu’est le danger. Dans ce cas, les hackers qui tentent de comprendre, grâce au correctif, ce que ce dernier essayait de corriger (technique appelée rétro-ingénierie ou « reverse engineering »), peuvent l’exploiter afin d’attaquer les entreprises encore vulnérables. Ici, les failles étaient déjà exploitées : dès janvier, Volexity avait averti Microsoft qu’un groupe de hackers était occupé à (tranquillement) exploiter cette ou plutôt ces vulnérabilités. Autrement dit, les hackers avaient découvert ces failles avant même que Microsoft ne le sache et en profitaient pour compromettre la sécurité des serveurs. », détaille Charles Cuvelliez, enseignant à l’Université de Bruxelles et chef de la sécurité de l’information chez Belfius Banque – Gaël Hachez, PwC Belgique, cybersécurité et Jean-Jacques Quisquater, enseignant à l’université de Louvain et MIT.

De façon concrète, les failles de sécurité permettant aux pirates informatiques de réaliser certains exploits. À savoir par exemple :

– Infiltrer les e-mails du serveur Exchange pour espionner les conversations ou exfiltrer des informations.

– Exécuter un code malveillant (une porte dérobée) sur le serveur de l’entreprise dans le but d’y accéder à distance

– Exécuter certaines commandes qui en principe ne sont pas permise surtout en passant par les serveurs Exchange.

– S’octroyer des privilèges d’administrateur en exécutant un code arbitraire à distance.

– Ecrire des fichiers sur les serveurs Exchange peu importe la partie.

La gravité de cette situation est visible à travers la possibilité pour les pirates informatiques d’automatiser l’ensemble de leur action

Interrogé sur ces questions de failles de sécurité, le patron de la société de sécurité informatique américaine FireEye, Kevin Marndia explique : « Certaines configurations sont-elles plus exposées que d’autres ? Tout d’abord, pour profiter de ces failles, il faut que le serveur Exchange soit directement relié à Internet. La tâche est facilitée dans les petites entreprises, qui ont un seul serveur, car l’adresse e-mail des utilisateurs permet de pointer directement sur cet unique serveur. Dans le cas contraire, il reste nécessaire d’identifier plus précisément le serveur à attaquer. Certaines sociétés ne permettent à leurs employés d’accéder aux e-mails qu’à condition de se connecter préalablement au réseau d’entreprise. Celles-là sont a priori mieux protégées, même si l’installation de correctifs de sécurité reste indispensable : un hacker qui serait rentré dans le réseau via un autre moyen peut alors accéder au serveur et exploiter les vulnérabilités. ».

Lorsque Microsoft a par exemple découvert les failles de sécurité, il était en son obligation bien sûr d’avertir le public. L’entreprise américaine était face à une course à la montre où il lui était exigé de produire le plus tôt possible un correctif de sécurité pour combler les vulnérabilités. Pourtant les choses ne sont pas si simples que cela. Effectivement, « Mais tout le monde savait à l’avance qui allait gagner : appliquer ces correctifs (ce qu’on appelle « patcher » des serveurs dans le jargon), les programmer et les planifier est une tâche assez longue. Pour « patcher » des serveurs, il faut les déconnecter du réseau, y accéder en mode administrateur, appliquer les instructions de Microsoft. Tout cela laisserait du temps aux criminels. Ce n’est que récemment que Microsoft a proposé pour les entreprises un correctif tout-en-un qui se rapproche des mises à jour que nous appliquons tous sur nos ordinateurs personnels. Et ce correctif tout-en-un n’est apparu qu’après que le Conseil de sécurité nationale de la Maison-Blanche a instamment demandé à Microsoft d’aider les petites entreprises, qui n’ont pas d’équipes dédiées, prêtes à faire face, à surmonter cette vulnérabilité. » expliquent nos   spécialistes. Et cela se confirme lorsque le 23 mars dernier, Microsoft annoncé qu’il y avait encore 30 000 infrastructures qui n’avaient pas toujours adoptés les patchs de sécurité. Quelques semaines avant, soit le 12 mars, il y avait encore 82 000 infrastructures qui étaient toujours vulnérables.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Microsoft Exchange : les boîtes e-mails piratées

Encore aujourd’hui, on continue de parler des failles de sécurité des serveurs qui affectent Microsoft Exchange.

Une importante vulnérabilité qui ébranle d’une certaine manière le monde professionnel ainsi que le monde informatique d’e façon générale. Ces 4 vulnérabilités connues sous la dénomination de Proxylogon, ont facilité la réalisation de plusieurs attaques informatiques ciblées. En l’occurrence, le Spear phishing ou encore le déploiement de logiciels de rançonnage (Ransomware). Le déploiement de patch de sécurité par la firme de Redmond n’a pas suffi pour ralentir la vague de cybercriminalité, qui profite au maximum de la découverte de cette faille de sécurité. Aujourd’hui, des milliers d’organisations sont vulnérables, que ce soit des entreprises ou encore des collectivités territoriales.

Cet article va aussi vous intéresser : Piratage informatique : environ 400 systèmes informatiques de la Belgique touchés par la faille de sécurité de Microsoft Exchange

Récemment par exemple, il a été mis à jour une autre faille de sécurité qui offre la possibilité de prendre à distance le contrôle des serveur email de Microsoft Exchange. Apparemment des pirates informatiques auraient déjà profité de cette dernière pour pirater des boîtes mails.

« Peu de cibles avec des serveurs vulnérables ont pu éviter les premières cyberattaques automatisées qui sévissent depuis des semaines. Si c’est le cas, il faut qu’ils jouent au Loto », note directeur France de WatchGuard, Pascal Le Digol. L’entreprise française mentionne que l’une des entreprises avec lesquels il collabore avait été touché de plein fouet avec 50 postes de travail. Son système informatique a été paralysé en seulement 6 minutes.

Le piratage de boîtes e-mails a été mis à jour après celui qui a touché l’Autorité bancaire européenne. Un piratage qui était facilité par les failles de sécurité « Proxylogon », sur Exchange.

Rappelons qu’au début du mois de mars 2021, Microsoft avait lancé un avertissement concernant les agissements d’un groupe de pirates informatiques nommé « Hafnium ».   Ce groupe profitait de plusieurs failles de sécurité de type 0 Day pour s’infiltrer dans les boîtes e-mails à des entreprises ainsi que des organisations stratégiques du gouvernement américain.

« Deux d’entre elles sont critiques et permettent de lancer des commandes du serveur à distance sans authentification, de prendre complètement la main dessus et d’accéder à tous les e-mails », nous explique, directeur technique chez Vectra Networks (entreprise spécialisée dans la détection des attaques informatiques en temps réel), Grégory Cardiet.

De la sorte, les pirates informatiques se trouvent en position de récolter suffisamment de contenus se trouvant sur les serveurs que les entreprises ont installés

« Le problème est systémique car quasiment tout le monde utilise du Microsoft Exchange et les failles touchent toutes les versions logicielles depuis celle de 2010 », souligne Vincent Hinderer, un expert des cyber menaces de chez Orange Cyberdéfense.

Selon l’entreprise américaine, le gouvernement chinois sur est derrière toutes ces actions de cybercriminalité. Profitant ainsi de la faille de sécurité pour s’engouffrer et mettre en œuvre pour quand cette vague de cybermalveillance. Durant le mois de mars, il a été observé une multiplication des tentatives par 10, selon les spécialistes de l’entreprise américaine de cybersécurité Checkpoint. Cette situation a été confirmé par Microsoft.

L’un des problèmes de cette situation, c’est que les vulnérabilités en question peuvent être exploité par des petits hackers

« La faille la plus intéressante et son code, comme la méthode pour l’exploiter, ont été partagés sur Reddit puis copiés et repartagées partout, et la liste des serveurs vulnérables est facilement accessible dans des bases de données sur Internet », précise Grégory Cardiet. « Tous les pirates, à partir des plus nuls, savent comment créer un script automatique qui va sonder la présence des vulnérabilités dans des serveurs, c’est une faille qui fait très mal », ajoute de son côté Pascal Le Digol de WatchGuard Technologies.

À la découverte de la faille de sécurité, on parlait de 400 000 serveurs écrit à travers le monde entier. Aujourd’hui avec le patch de sécurité déployé par Microsoft, il est estimé à hauteur de : « 15 000 serveurs étaient vulnérables » déclare le patron de l’agence nationale de sécurité des systèmes d’information, M Guillaume Poupard.

« Il y a eu une mobilisation générale inédite pour faire face à l’enjeu et une grosse partie du parc a heureusement été protégée, cela n’a pas été le “Pearl Harbor” redouté », essaie tant bien que mal de rassurer Vincent Hinderer, de Orange Cyberdefense.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage