Le FBI agit pour se débarrasser des portes dérobées des serveurs Microsoft Exchange piratés

Le FBI a exécuté une procédure autorisée par un tribunal pour éliminer les shells Web de porte dérobée malveillants de centaines de serveurs de messagerie électronique Microsoft Exchange concentrés dans la vague d’attaques modernes.

Les attaques ont exploité quatre vulnérabilités zéro jour ouvrable dans Microsoft Exchange, collectivement appelées vulnérabilités ProxyLogon, qui ont été exploitées pour la première fois par des acteurs de la menace chinois, considérés comme Hafnium. Même les estimations prudentes des autorités de sécurité telles qu’ESET ont fixé le nombre de serveurs compromis à environ 5 000.

Selon les récits, il s’agit probablement de la première occasion pour le FBI de désinfecter des serveurs privés à la suite d’une cyberattaque.

TechRadar vous veut !

Nous recherchons comment nos visiteurs utilisent VPN pour un prochain rapport approfondi. Nous serions ravis d’écouter vos idées dans le sondage ci-dessous. Il ne choisirait pas plus de 60 secondes de votre temps.

>> Cliquez simplement ici pour démarrer l’enquête dans une nouvelle fenêtre

Suppression de la porte dérobée

“Cette opération autorisée par le tribunal pour copier et supprimer des shells Web malveillants de centaines d’ordinateurs vulnérables montre notre engagement à utiliser toute ressource viable pour lutter contre les cybercriminels”, a déclaré l’avocate américaine par intérim Jennifer B. Lowery du district sud du Texas.

Le FBI essaie maintenant de contacter les propriétaires des serveurs qu’il a nettoyés pour les informer de l’opération autorisée par le tribunal.

Des utilitaires tels que l’outil en un clic de Microsoft ont permis de garantir qu’une majorité de serveurs, dont plusieurs dans des petites entreprises dépourvues d’équipes informatiques et de sécurité dédiées, pourraient également colmater les vulnérabilités.

Cependant, les chercheurs en sécurité ont rapidement découvert que les attaquants avaient laissé des shells Web pour revenir aux systèmes compromis pour des actions futures.

Découvrir et supprimer les shells Web n’est pas aussi simple que d’appliquer un correctif, ce qui a incité le FBI à agir.

“Le FBI a procédé à la suppression en émettant une commande via le shell Web au serveur, qui a été conçue pour que le serveur supprime uniquement le shell Web (identifié par son chemin de fichier unique)”, explique la note du ministère de la Justice.

Via : TechCrunch