Un piratage massif menace des dizaines de milliers de serveurs Microsoft
-
Les victimes potentielles sont partout dans le monde. Les hackeurs s’en sont pris à une “importante vulnérabilité” de SharePoint, un logiciel collaboratif du géant américain qu’utilisent des millions d’entreprises et d’administrations dans le monde.
Des pirates informatiques ont perpétré une “attaque mondiale” contre Microsoft en exploitant “une faille de sécurité majeure” d’un serveur vendu à des centaines de millions d’exemplaires, rapporte The Washington Post. Depuis quelques jours, “des agences gouvernementales, des universités, des entreprises du secteur de l’énergie et une société de télécommunications asiatique” sont visées par les hackeurs.
Selon les gouvernements des États-Unis, du Canada et d’Australie, le piratage de la plateforme de partage de documents SharePoint menace “des dizaines de milliers de serveurs” dans le monde_._ Microsoft a publié dimanche 20 juillet au soir un correctif pour une version du logiciel, mais l’entreprise “laisse les victimes se démener partout dans le monde pour remédier” au problème pour “deux autres versions”, rappelle le quotidien américain.
Vols de données sensibles à la clé
L’attaque, dénommée zero-day (“jour zéro”) parce qu’elle “cible une vulnérabilité encore inconnue à ce jour”, vient entacher la réputation de Microsoft “en matière de cybersécurité”, déjà mise à mal en 2024. Un groupe d’experts avait pointé son rôle dans le “piratage par la Chine en 2023 d’e-mails du gouvernement américain, dont la ministre du Commerce Gina Raimondo”.
Une brèche permettant d’accéder aux serveurs SharePoint, “qui se connectent régulièrement à la messagerie Outlook, à Teams et à d’autres programmes de base, peut conduire à un vol de données sensibles ainsi qu’à la collecte de mots de passe”. Pire, selon les experts en sécurité informatique d’Eye Security, “les hackeurs ont eu accès à des clés qui peuvent leur permettre d’entrer à nouveau dans un système, même après l’application d’un correctif”.
Bref, explique un spécialiste de la cybersécurité au quotidien de la capitale :
“Publier un correctif ce lundi ou ce mardi n’aide donc pas ceux qui ont été compromis au cours des 72 dernière heures.”
D’ores et déjà, des serveurs en Chine ont été attaqués, “ainsi qu’une assemblée législative de l’est des États-Unis” et des universités. Eye Security a compté “plus de cinquante brèches de données”, qui ont atteint une compagnie d’électricité américaine et “de nombreuses agences gouvernementales européennes”.
Il est trop tôt pour savoir “qui est à l’origine de ce piratage de portée mondiale ou quel est son objectif ultime”. L’agence de sécurité informatique américaine dit avoir été informée de l’attaque le vendredi 18 juillet par une entreprise de cybersécurité et “avoir immédiatement contacté Microsoft”.
Source : courrierinternational.com
-
-
undefined Violence a fait référence à ce sujet
-
L’attaque contre les serveurs SharePoint prend de l’ampleur
Il y a quelques jours, on apprenait que des pirates avaient réussi à exploiter d’une autre manière deux failles auparavant corrigées par Microsoft dans plusieurs versions de SharePoint sur site. Les attaques ont commencé durant le week-end du 19 - 20 juillet.
Depuis, la campagne a pris de l’ampleur. Alors qu’aucun signe particulier ne pointait en direction d’une attaque coordonnée, on peut en effet parler de campagne. Selon les informations fournies par Microsoft et Eye Security, l’exploitation des failles est utilisée depuis plusieurs jours pour automatiser l’installation de rançongiciels. Contrairement aux attaques observées au départ, il ne s’agit donc plus de dérober des informations, mais de bloquer leur accès, à moins de payer une somme d’argent, sous forme le plus souvent de cryptoactifs.
Selon Eye Security, cité par Reuters, le chiffre serait désormais d’au moins 400 victimes. Un nombre sous-estimé selon la société de sécurité, car une partie des attaques ne laisse visiblement pas de traces exploitables, selon les vecteurs utilisés.
On sait également que le profil des cibles est devenu plus élevé. Toujours selon Reuters, qui cite le Washington Post, un représentant du National Institutes of Health américain a confirmé qu’au moins un des serveurs de l’organisme avait été compromis, et que d’autres avaient été « isolés par précaution ». Selon NextGov, le ministère américain de la Sécurité intérieure (DHS) a été touché, ainsi que cinq à douze autres agences gouvernementales. Une information qu’appuie Politico.
Selon Microsoft, une partie des attaques serait directement imputable à plusieurs groupes étatiques de pirates chinois : Linen Typhoon, Violet Typhoon et Storm-2603. L’objectif serait toujours le même, déployer le rançongiciel Warlock.
Les solutions proposées sont les mêmes que dans notre article originel : appliquer les correctifs aussi rapidement que possible et procéder au renouvellement des clés sur les serveurs, ainsi qu’un redémarrage. Microsoft avait fourni également une méthode pour automatiser la recherche des traces de compromission.
Source : next.ink
-

