Attaque HAFNIUM : comment protéger vos clients

ResourcesManaged Threat Response (MTR)Rapid ResponseThreats & Malware
09 Mar 2021 Par

Le 2 mars 2021, des vulnérabilités de type « zero-day » affectant Microsoft Exchange ont été rendues publiques. Ces vulnérabilités sont actuellement activement exploitées par HAFNIUM, un acteur malveillant soupçonné d’être un État-nation. Selon une alerte de la CISA (Cybersecurity & Infrastructure Security Agency) américaine :

« Microsoft a publié des mises à jour de sécurité hors bande pour remédier aux vulnérabilités affectant Microsoft Exchange Server 2013, 2016 et 2019. Un attaquant distant peut exploiter trois vulnérabilités d’exécution de code à distance (CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065) pour prendre le contrôle d’un système affecté et peut exploiter une vulnérabilité (CVE-2021-26855) pour obtenir l’accès à des informations sensibles. Ces vulnérabilités sont actuellement activement exploitées. »

La CISA a publié une directive d’urgence invitant les organisations à corriger leurs serveurs Exchange sur site tout en effectuant les analyses de sécurité associées pour voir si des attaquants sont présents dans les systèmes.

 

Que doivent faire les clients Sophos ?

L’équipe Sophos MTR a publié un guide étape par étape sur la manière de rechercher des signes de compromission sur le réseau d’un client.

La bonne nouvelle est que les clients Sophos MTR, Réseau et Endpoint disposent de multiples protections contre l’exploitation des nouvelles vulnérabilités.

Un article a été publié sur Sophos News, qui passe en revue un grand nombre de ces protections :

  • Les signatures AV connexes qui ont bloqué HAFNIUM, et des conseils sur ce qu’il faut faire si elles ont été déclenchées
  • Des requêtes que les clients Sophos EDR peuvent lancer pour identifier des shells web potentiels à examiner
  • Des signatures IPS pour les clients Sophos Firewall

De nombreux avis de sécurité ont déjà été envoyés aux clients de Sophos MTR, soulignant le problème et les actions prises par l’équipe MTR pour assurer la protection des clients.

 

Sophos Managed Threat Response (MTR) et Rapid Response

Ces derniers jours, les organisations nous ont demandé plus d’informations sur les services Sophos pouvant valider le fait qu’elles aient été exposées à la menace. Sophos MTR Advanced est la solution idéale pour se protéger contre les attaques avancées telles que HAFNIUM.

Les clients MTR existants peuvent garder l’esprit tranquille sachant que Sophos MTR a immédiatement recherché toute activité connexe dans leurs réseaux.

Si un client non MTR soupçonne qu’il fait face à une attaque, nous lui recommandons de contacter l’équipe Sophos Rapid Response immédiatement.

 

À propos de l’auteur

Sophos is a global leader and innovator of advanced security solutions that defeat cyberattacks, including Managed Detection and Response (MDR) and incident response services and a broad portfolio of endpoint, network, email, and cloud security technologies. As one of the largest pure-play cybersecurity providers, Sophos defends more than 600,000 organizations and more than 100 million users worldwide from active adversaries, ransomware, phishing, malware, and more. Sophos’ services and products connect through the Sophos Central management console and are powered by Sophos X-Ops, the company’s cross-domain threat intelligence unit. Sophos X-Ops intelligence optimizes the entire Sophos Adaptive Cybersecurity Ecosystem, which includes a centralized data lake that leverages a rich set of open APIs available to customers, partners, developers, and other cybersecurity and information technology vendors. Sophos provides cybersecurity-as-a-service to organizations needing fully managed security solutions. Customers can also manage their cybersecurity directly with Sophos’ security operations platform or use a hybrid approach by supplementing their in-house teams with Sophos’ services, including threat hunting and remediation. Sophos sells through reseller partners and managed service providers (MSPs) worldwide. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.