Après des failles découvertes dans le logiciel Microsoft Exchange et une mise à jour publiée en mars, des hackers avaient toujours accès à des centaines de serveurs aux États-Unis grâce à un web shell implanté avant le patch. Un tribunal a autorisé le FBI à intervenir à distance sur chaque appareil pour supprimer ce malware.

au sommaire

    Pour la première fois, le FBI s'est occupé de nettoyer des serveurs infectés par un malware. L'organisation a reçu le feu vert d’un tribunal à Houston, au Texas, pour supprimer du code malveillant sur des centaines de serveurs MicrosoftMicrosoft Exchange situés aux États-Unis.

    Le malware en question a été implanté à la suite de la découverte de quatre failles dans le logiciel de Microsoft. Le groupe de hackers chinois HafniumHafnium a été le premier à les exploiter, mais d'autres ont rapidement suivi. Microsoft avait déployé une mise à jour pour corriger les failles, mais les hackers ont pu garder la main sur certains serveurs grâce à du malware introduit entre temps.

    Le FBI  tente de contacter les victimes par e-mail

    De nombreux administrateurs ont désinfecté avec succès leur système après avoir installé le patch. Toutefois, ce n'est pas le cas de tous, et les hackers ont pu ainsi continuer à accéder à certains serveurs. Le FBI s'est attaqué à un web shell laissé par un des groupes, un programme qui permet de commander l'appareil infecté depuis un navigateur. L'organisation s'est ainsi connectée à des centaines de serveurs pour envoyer une commande leur indiquant de supprimer les fichiers du web shell.

    S'il s'agit d'une grande première pour le FBI, la cybergendarmerie française avait déjà mis fin à un botnet en 2019. La tâche avait été toutefois simplifiée par la présence d'un serveur centralisé qui a pu être utilisé pour désactiver le malware sur l'ensemble des appareils infectés. L'opération actuelle s'est concentrée sur un seul malware et n'a pas supprimé d'autres programmes malveillants potentiels. Le FBI tente de contacter les propriétaires des serveurs en question pour les notifier de l'intervention.

    Au moins 100.000 entreprises piratées à cause d'une faille chez Microsoft

    Pendant une semaine, des hackers ont profité d'une faille dans le serveur de messageriemessagerie Exchange pour s'introduire dans les serveurs de dizaines de milliers d'entreprises. Microsoft a corrigé la faille, mais le mal est fait, et les pirates sont encore actifs sur les serveurs piratés.

    Article de Fabrice Auclert, publié le 08/03/2021

    Quand un pirate souhaite s'attaquer à des entreprises, il n'a pas forcément besoin de s'en prendre directement à un serveur, qu'on pourrait comparer à la porteporte d'entrée du système informatique. Il peut aussi passer par la fenêtrefenêtre, et en l'occurrence, un logiciel utilisé par l'entreprise ciblée. Exactement comme lorsque les hackers utilisent une applicationapplication pour pirater un smartphone.

    Justement, on apprend que plusieurs dizaines de milliers de sociétés américaines sont les victimes d'une attaque de grande ampleur, et les pirates ont profité d'une faille dans Exchange, la messagerie développée par Microsoft. Dans l'urgence, Microsoft a immédiatement publié des correctifs pour stopper l'attaque, mais c'est hélas trop tard pour les entreprises qui avaient déjà été attaquées. Selon KrebsOnSecurity, le chiffre de sociétés victimes de l'attaque dépasserait les 100.000 à travers le monde, dont 30.000 aux États-Unis.

    Des hackers chinois derrière l'attaque

    « Si votre société exécute un serveur Outlook Web Access relié à InternetInternet, partez du principe que vous êtes touché par une attaque lancée entre le 26 février et le 3 mars », écrit en substance Brian Krebs, qui rapporte que les hackers ont installé un « webshell » sur les serveurs piratés pour saisir des commandes comme administrateurs via une fenêtre de terminal accessible avec un navigateur Web. Ils peuvent donc lancer le téléchargement de données ou en effacer.

    Pour Microsoft, il s'agit d'attaques d'un groupe de hackers chinois, connu sous le nom d'Hafnium, mais la firme précise que la simplicité de l'attaque a sans doute permis à d'autres pirates de les imiter. Microsoft a confirmé que la faille était donc corrigée, mais désormais chaque société doit supprimer le malware installé par les pirates, et elle a mis en ligne un petit script qui permet de savoir si sa société a été touchée par l'attaque.