23/11/2024

Actu Cybersécurité

Le FBI intervient sur les serveurs Exchange infectés pour faire le nettoyage

Ces dernières semaines, les vulnérabilités critiques au sein de Microsoft Exchange ont beaucoup fait parler d'elles. En effet, des milliers de serveurs ont été compromis et des backdoors laissées sur ces mêmes serveurs. En ce moment, le FBI pénètre à son tour sur les systèmes infectés dans le but de faire le nettoyage !

Alors que Microsoft et la CISA (l'équivalent de l'ANSSI aux États-Unis) mènent des actions de sensibilisations auprès des entreprises suite à ces nombreux piratages de serveurs Exchange, le FBI quant à lui passe directement à l'action !

Le FBI a reçu l'autorisation d'effectuer lui-même ce nettoyage et le gouvernement américain soutient cette initiative. Actuellement, les pirates ont la main sur des centaines de serveurs Exchange grâce à une porte dérobée (backdoor) installée lors de l'attaque initiale. Pas de panique : le FBI va vous venir en aide. Bien entendu, les agents du Federal Bureau of Investigation interviennent seulement auprès des entreprises basées aux Etats-Unis.

Dans un premier temps, le FBI intervient pour faire le nettoyage, sans prévenir les entreprises. À compter du 9 mai prochain, le FBI préviendra les entreprises d'un simple courrier électronique. Dans le cas où le courrier électronique n'est pas délivré correctement, le FBI sollicitera les opérateurs télécoms américains pour faire passer le message auprès de l'entreprise concernée. Cette façon de faire du FBI ne risque pas de plaire à tout le monde... Même si cela semble partir d'une bonne intention.

Lors de son intervention, le FBI supprime la porte dérobée qui permet aux hackers d'avoir un accès persistant sur l'infrastructure cible. Dans de nombreux cas, cette porte dérobée se présente sous la forme d'un webshell, c'est-à-dire la possibilité d'exécuter des commandes sur le serveur compromis au travers d'une page Web.

Pour rappel, ces failles Zero-Day touchent Exchange 2013, Exchange 2016 et Exchange 2019. Elles sont référencées avec les noms suivants : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065. Microsoft a publié un correctif depuis début mars 2021.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Le FBI intervient sur les serveurs Exchange infectés pour faire le nettoyage

  • Ils n’auraient pas des choses à se reprocher la ou ils interviennent ? Genre enlever les traces de leur passage utilisant la faille ?…
    Ils sont pas connu pour faire du bénévolat 😀

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.