HAFNIUM : des dizaines de milliers d’entreprises espionnées

Plusieurs failles dans Exchange ont été activement exploitées par un groupe de hackers supposément à la solde de Pékin. Malgré les patchs déployés par Microsoft, il reste plus de 250 000 serveurs vulnérables à l’heure actuelle, et le volume d’attaques ne diminue pas. 

Panique dans les SoC. Une vague d’attaques, ou plus exactement de cyberespionnage, est en cours. Repérée au début du mois, la campagne malveillante exploite plusieurs failles d’Exchange Server, dans ses versions 2013 à 2019. Microsoft, particulièrement concerné puisque ce sont les vulnérabilités de sa messagerie qui sont exploitées, a déjà fourni plusieurs communications sur le sujet, repéré par Dubex et Volexity, deux entreprises spécialisées, qui ont contribué plus en avant à l'enquête sur cette attaque. 

Et notamment sur les auteurs de cette attaque, un groupe baptisé HAFNIUM. Celui-ci s’est déjà fait remarquer, Microsoft le détectant notamment alors qu’il cherchait à compromettre des comptes Office 365. Sans succès, précise l’éditeur. Mais ces premières tentatives ne relevaient probablement que de la reconnaissance des systèmes des futures victimes de cette nouvelle campagne. D’ailleurs, Redmond souligne que HAFNIUM, qui est probablement soutenu par le gouvernement chinois, “a déjà compromis les victimes en exploitant les vulnérabilités des serveurs connectés à Internet et a utilisé des cadres open-source légitimes, comme Covenant, pour le C&C. Une fois qu'ils ont accédé à un réseau victime, HAFNIUM exfiltre généralement les données vers des sites de partage de fichiers comme MEGA”.

Quatre failles zero day

Ici, nous sommes à nouveau dans le cadre d’une opération de cyberespionnage, qui ne vise pas Microsoft, mais bien les utilisateurs de sa messagerie Exchange. Selon Redmond, “HAFNIUM cible principalement des entités aux États-Unis dans un certain nombre de secteurs industriels, y compris les chercheurs en maladies infectieuses, les cabinets d'avocats, les établissements d'enseignement supérieur, les entrepreneurs de la défense, les groupes de réflexion sur les politiques et les ONG”. Les premières estimations donnent 60 000 serveurs victimes des hackers. Brian Krebs chiffre pour sa part à 30 000 le nombre d’organisations affectées par cette campagne.

Ce groupe exploite un ensemble de quatre vulnérabilités affectant, à des degrés de sévérité divers, Microsoft Exchange. Toutes étaient 0day.

CVE-2021-26855 permet à l'attaquant d'envoyer des requêtes HTTP arbitraires et de s'authentifier en tant que serveur Exchange. CVE-2021-26857 est quant à elle une “vulnérabilité de désérialisation non sécurisée” dans Exchange : elle nécessite une autre vulnérabilité pour monter en privilège et a donné à HAFNIUM la possibilité d'exécuter du code sur les serveurs. Une fois authentifié, HAFNIUM s’appuyait sur CVE-2021-26858 pour écrire un fichier sur n’importe quel chemin du serveur. CVE-2021-27065 est quasi-identique à la précédente. 

Des dizaines de milliers de victimes

En résumé, en exploitant cette série de failles, HAFNIUM obtenait l’accès au serveur, puis y déployait des shells, des interpréteurs de commandes Web. Par leur biais, le groupe pouvait non seulement dérober des données mais également compromettre d’autres systèmes. Microsoft signale que les hackers ont également été en mesure de télécharger des carnets d’adresses Exchange depuis les serveurs compromis, fichiers contenant diverses informations sur l’organisation ciblée et ses salariés. 

Ni une ni deux, Microsoft a fourni une abondante documentation sur le sujet, de même qu’un panel d’outils permettant d’atténuer les risques, avant de finalement corriger ces failles de Exchange le 2 mars. De même, un utilitaire sous forme de script vérifiant les indicateurs de compromission d’un serveur a été mis en ligne. Et pourtant... Malgré les patchs et les divers outils, Redmond rapportait deux jours après son message initial remarquer “une utilisation accrue de ces vulnérabilités dans les attaques ciblant des systèmes non corrigés par plusieurs acteurs malveillants au-delà de HAFNIUM”. 

En cause, bien évidemment, des systèmes qui n’ont pas été patchés malgré la distribution des corrections. Or, selon Shodan, 260 000 serveurs sont encore vulnérables à l’heure actuelle. On ignore encore si des sociétés en France ont été touchées, quand bien même la campagne semble se concentrer sur les États-Unis. Toujours selon Shodan, plusieurs milliers de serveurs Exchange sont toujours vulnérables dans l’Hexagone.