Hafnium et ProxyLogon

Début mars 2021, Microsoft révèle qu’un groupe étatique chinois qu’elle suit sous le nom de Hafnium exploitait quatre vulnérabilités zero-day dans Microsoft Exchange Server en environnement on-premises. Enchaînés, les bugs — collectivement appelés ProxyLogon — donnaient à un attaquant non authentifié une exécution de code à distance complète sur les serveurs Exchange exposés à internet et, de là, le contenu de toutes les boîtes mail.

Une opération ciblée devient une curée

Pendant des semaines, l’usage des vulnérabilités par Hafnium était étroit et orienté espionnage. Cela change lorsque Microsoft publie des correctifs d’urgence et des indicateurs. En quelques jours, les détails d’exploitation — apparemment fuités ou reconstruits indépendamment — deviennent largement disponibles, et une longue traîne de groupes criminels sans rapport se met à scanner massivement internet, web-shellant chaque serveur Exchange non patché qu’ils trouvent avant que les défenseurs ne puissent fermer la porte.

Les estimations de serveurs Exchange compromis se comptent en dizaines de milliers dans le monde, dont des petites entreprises, des collectivités locales et des organisations sans aucun personnel de sécurité. Le FBI finit par obtenir une décision de justice l’autorisant à retirer à distance les web shells des serveurs américains infectés — une étape de remédiation inhabituellement agressive qui devient elle-même un sujet de débat politique.

Ce que la chronique retient

ProxyLogon est l’exemple canonique du risque de fenêtre de divulgation : l’écart entre la disponibilité d’un correctif et son application est une course, et une fois un exploit public, tous les acteurs du spectre le lancent en même temps. L’incident, quelques semaines avant que le grand public n’assimile SolarWinds, a renforcé l’idée que les logiciels de périphérie on-premises sont une surface d’exploitation de masse permanente.