Microsoft soupçonne que des pirates informatiques au service de l’État chinois ont activement exploité la faille zero day dans SharePoint dans le but de dérober des informations à de grandes entreprises et institutions gouvernementales.
Microsoft pointe du doigt deux groupes de pirates sponsorisés par la Chine comme responsables de l’exploitation active d’une faille récemment découverte dans SharePoint. Cette faille zero day a été découverte vendredi après que des attaquants l’ont utilisée pour s’infiltrer dans les environnements SharePoint d’organisations du monde entier.
Trois collectifs chinois
Trois collectifs de pirates chinois sont suspectés : Linen Typhoon, Violet Typhoon et Storm-2603. La société néerlandaise Eye Security, qui a découvert l’attaque vendredi dernier, parle d’une campagne coordonnée d’exploitation massive. Les pirates ont déjà compromis des systèmes d’entreprises et d’institutions aux États-Unis et au Moyen-Orient, et il y aurait également des victimes en Europe.
lire aussi
Des hackers attaquent Microsoft SharePoint dans le monde entier via une faille zero day : appliquez le correctif maintenant
Il n’est pas exclu que d’autres groupes exploitent cette vulnérabilité. L’enquête est toujours en cours, selon Microsoft. L’entreprise indique être pratiquement certaine que des criminels continueront à cibler cette faille dans de futures attaques.
Les utilisateurs de SharePoint on-premises doivent non seulement appliquer d’urgence les correctifs, mais aussi prendre d’autres mesures comme la rotation des clés ASP.NET. Les administrateurs doivent partir du principe qu’un accès malveillant aux systèmes a eu lieu.
Réédition d’Exchange 2021
Toute cette histoire ressemble presque à une réédition de la grande attaque Exchange de 2021. À l’époque, des pirates chinois avaient pu s’infiltrer dans l’environnement d’entreprises et d’institutions gouvernementales du monde entier via une faille zero day dans Microsoft Exchange. Après enquête, la responsabilité de la campagne d’attaques avait été attribuée à la Sécurité d’État chinoise.
L’ampleur de l’exploitation de cette faille SharePoint semble plus limitée, bien que l’impact réel reste à déterminer dans les jours et semaines à venir. En tout cas, cet incident ne reflète pas bien sur Microsoft qui, malgré des efforts supplémentaires en matière de sécurité, n’a pas pu empêcher une nouvelle fois une attaque à grande échelle due à une faille dans son propre logiciel.
Il est à noter que les clients SharePoint dans l’environnement Microsoft 365 restent épargnés. Seuls les utilisateurs de SharePoint on-premises courent un risque (important).