La faille de Microsoft Exchange a peut-être conduit au piratage de plus de 30,000 XNUMX organisations américaines

La publication discrète d'un correctif hors bande pour une faille dans le serveur Exchange de Microsoft se transforme rapidement en une histoire majeure, avec des rapports crédibles d'au moins 30,000 XNUMX organisations aux États-Unis, et peut-être des centaines de milliers dans le monde, piratés par un groupe de pirates chinois, qui a maintenant le contrôle total des serveurs et des données qu'ils contiennent .

Krebs sur les rapports de sécurité qu'un nombre important de petites entreprises, de villes et de gouvernements locaux ont été infectés, les pirates laissant derrière eux un shell Web pour un contrôle et un contrôle supplémentaires.

Microsoft a déclaré que les attaques initiales visaient une gamme de secteurs industriels, notamment des chercheurs en maladies infectieuses, des cabinets d'avocats, des établissements d'enseignement supérieur, des sous-traitants de la défense, des groupes de réflexion sur les politiques et des ONG, mais Krebs note qu'il y a eu une escalade dramatique et agressive de la taux d'infection, car les pirates essaient de garder une longueur d'avance sur le correctif publié par Microsoft.

"Nous avons travaillé sur des dizaines de cas jusqu'à présent où des shells Web ont été placés sur le système victime le 28 février [avant que Microsoft n'annonce ses correctifs], jusqu'à aujourd'hui", a déclaré le président de Volexity, Steven Adair, qui a découvert le attaque. "Même si vous avez corrigé le même jour que Microsoft a publié ses correctifs, il y a toujours de fortes chances qu'il y ait un shell Web sur votre serveur. La vérité est que si vous utilisez Exchange et que vous n'avez pas encore corrigé cela, il y a de fortes chances que votre organisation soit déjà compromise.

Un outil est disponible sur Github pour identifier les serveurs infectés sur Internet, et la liste est inquiétante.

"Il s'agit de services de police, d'hôpitaux, de tonnes de gouvernements de villes et d'États et de coopératives de crédit", a déclaré une source qui travaille en étroite collaboration avec des responsables fédéraux sur la question. "Presque tous ceux qui exécutent Outlook Web Access auto-hébergé et qui n'ont pas été corrigés il y a quelques jours ont été victimes d'une attaque zero-day."

La taille de l'attaque jusqu'à présent soulève des inquiétudes quant à la phase de remédiation.

"Lors de l'appel, de nombreuses questions provenaient de districts scolaires ou de gouvernements locaux qui ont tous besoin d'aide", a déclaré la source, s'exprimant à condition qu'ils ne soient pas identifiés par leur nom. « Si ces chiffres se chiffrent en dizaines de milliers, comment la réponse aux incidents est-elle effectuée ? Il n'y a tout simplement pas assez d'équipes de réponse aux incidents pour le faire rapidement.

"La meilleure protection consiste à appliquer les mises à jour dès que possible sur tous les systèmes concernés", a déclaré un porte-parole de Microsoft dans un communiqué écrit. « Nous continuons d'aider les clients en fournissant des conseils supplémentaires en matière d'enquête et d'atténuation. Les clients concernés doivent contacter nos équipes d'assistance pour obtenir de l'aide et des ressources supplémentaires. »

Certains ont pointé du doigt Microsoft pour avoir permis aux attaques de se produire, d'autant plus que leurs produits cloud n'ont pas été affectés.

"C'est une question qui mérite d'être posée, quelle sera la recommandation de Microsoft ?", a déclaré l'expert gouvernemental en cybersécurité. "Ils diront 'Patch, mais c'est mieux d'aller dans le cloud.' Mais comment sécurisent-ils leurs produits non cloud ? Les laisser flétrir sur la vigne.