Getty Images
Il semble de plus en plus probable qu’une vulnérabilité critique du jour zéro qui n’a pas été corrigée pendant plus d’un mois dans Microsoft Exchange a été la cause de l’un des plus grands piratages du Royaume-Uni : la violation de la commission électorale du pays, qui a exposé les données d’autant de personnes. que 40 millions d’habitants.
Les responsables de la Commission électorale ont révélé l’infraction mardi. Ils ont déclaré avoir découvert l’intrusion en octobre dernier lorsqu’ils ont découvert une « activité suspecte » sur leurs réseaux et que « des acteurs hostiles avaient accédé aux systèmes pour la première fois en août 2021 ». Cela signifie que les attaquants sont restés dans le réseau pendant 14 mois avant d’être finalement chassés. La Commission a attendu neuf mois après cela pour informer le public.
Le compromis a donné aux attaquants l’accès à une foule d’informations personnelles, y compris les noms et adresses des personnes inscrites pour voter de 2014 à 2022. Les porte-parole de la Commission ont déclaré que le nombre d’électeurs concernés pourrait atteindre 40 millions. La Commission n’a pas encore précisé la cause de l’infraction ou le moyen d’entrée initial.
Certaines recherches en ligne effectuées indépendamment par le journaliste de TechCrunch Zack Whittaker et le chercheur Kevin Beaumont suggèrent qu’une paire de vulnérabilités critiques dans Microsoft Exchange Server, que les grandes organisations utilisent pour gérer les comptes de messagerie, en était la cause. Suivie comme CVE-2022-41080 et CVE-2022-41082, la chaîne d’exécution de code à distance a été mise au jour le 30 septembre 2022, après avoir été activement exploitée pendant plus d’un mois dans des attaques qui ont installé des webshells malveillants sur des serveurs vulnérables. Microsoft a publié des conseils pour atténuer la menace, mais n’a corrigé les vulnérabilités que le 8 novembre, six semaines après avoir confirmé l’existence de la chaîne de vulnérabilités zero-day activement exploitée.
Dans les semaines qui ont suivi la découverte des zero-days, Beaumont a signalé que les mesures d’atténuation recommandées par Microsoft pouvaient être contournées. Mercredi, il a de nouveau reproché à Microsoft, d’abord d’avoir fourni des conseils erronés, puis d’avoir mis trois mois à publier des correctifs.
« Au moment où Microsoft a publié des mesures d’atténuation temporaires plutôt qu’un correctif de sécurité, il a fallu attendre novembre 2022 pour qu’une mise à jour de sécurité semble résoudre complètement le problème », a écrit le chercheur. « C’était un retard important. Entre-temps, les atténuations de sécurité fournies par Microsoft ont été contournées à plusieurs reprises. Plus tard dans le message, il a ajouté : « Microsoft doit expédier plus rapidement les correctifs de sécurité pour Microsoft Exchange Server. Il a besoin d’une sorte de pipeline de correctifs d’urgence.
Citant les résultats renvoyés par le moteur de recherche Shodan pour les appareils connectés à Internet, Beaumont et Whittaker ont déclaré que la Commission a exploité un serveur Exchange sur site exposé à Internet avec Outlook Web App jusqu’à fin septembre 2020, date à laquelle il a soudainement cessé de répondre. Les recherches montrent que le personnel de la Commission avait mis à jour le logiciel du serveur pour la dernière fois en août. Comme indiqué précédemment, le mois d’août a été le même mois où les exploits actifs de vulnérabilités ont commencé.
« Pour être clair, cela signifie que la Commission électorale (ou son fournisseur informatique) a fait le bonne chose– ils appliquaient rapidement des correctifs de sécurité pendant cette période en 2022 », a écrit le chercheur.
Mieux connu sous le nom de ProxyNotShell, CVE-2022-41082 et CVE-2022-41080 affectent les serveurs Exchange sur site. Microsoft a déclaré début octobre qu’il n’était au courant que d’un seul acteur menaçant exploitant les vulnérabilités et que l’acteur avait ciblé moins de 10 organisations. L’acteur de la menace parle couramment le chinois simplifié, ce qui suggère qu’il a un lien avec la Chine.
En décembre, l’hôte cloud Rackspace a révélé une brèche qui, selon lui, a été causée par l’exploitation d’un « zero-day » associé à « CVE-2022-41080 ». À ce stade, les correctifs publiés par Microsoft étaient disponibles depuis quatre semaines. Ce dernier article, qui attribuait les attaques à un syndicat de rançongiciels suivi sous le nom de Play, a ensuite critiqué la divulgation initiale de la vulnérabilité par Microsoft.
« Microsoft a divulgué CVE-2022-41080 comme une vulnérabilité d’escalade de privilèges et n’a pas inclus de notes pour faire partie d’une chaîne d’exécution de code à distance qui était exploitable », ont écrit les responsables de Rackspace.
Le piratage du serveur Exchange de la Commission est un puissant rappel des dommages qui peuvent résulter d’un abus du logiciel. Cela souligne également les dommages qui peuvent survenir lorsque les fournisseurs ne fournissent pas de mises à jour en temps opportun ou émettent des conseils de sécurité erronés. Les représentants de Microsoft n’ont pas répondu à un e-mail demandant un commentaire.