Les failles Microsoft Exchange dernièrement corrigées sont exploitées par au moins 10 différents groupes de menaces persistantes avancées (APT), tous ayant comme détermination de compromettre les serveurs de messagerie à l’échelle mondiale. Dernièrement, plusieurs exploits zero-day ont été déclarés par Microsoft, utilisés pour attaquer des versions locales de Microsoft Exchange Server.

Le pirate peut utiliser quatre failles enchainées afin de créer un exploit d’exécution de code à distance (RCE) pré-authentification, c’est-à-dire que les pirates peuvent contrôler des serveurs sans nécessiter l’obtention d’informations d’identification de compte valides. Ceci leur permet d’accéder aux communications par e-mail et installer une webshell pour une exploitation ultérieure dans l’environnement. En effet, des adversaires de l’APT chinois connus sous le nom de Hafnium ont pu avoir accès à des comptes de messagerie, voler des donnés et déposer des logiciels malveillants sur les machines cibles pour accéder à distance à long terme.

Selon Microsoft, les attaques étaient « limitées et ciblées », mais ceci n’est surement pas le cas, car d’autres entreprises ont déclaré avoir vu une activité plus large et graduelle avec de nombreux serveurs analysés et attaqués. Les chercheurs d’ESET ont eux aussi confirmé avoir identifié au moins 10 APT qui s’attaquaient aux failles, dont Calypso, LuckyMouse, Tick et Winnti Group. Cette activité s’est vite suivie d’une série d’autres groupes, comme CactusPete et Mikroceen « analysant et compromettant en masse les serveurs Exchange », d’après ESET.

Il parait aussi que les groupes de pirates se basent réciproquement sur le travail de chacun. Par exemple, dans certains cas, les webshells ont été déposés dans les fichiers de configuration du carnet d’adresses en mode hors connexion (OAB), et ils semblaient être accédés par plusieurs groupes.