Microsoft Exchange ProxyLogon (Hafnium)

Le 2 mars 2021, Microsoft a publié des correctifs d'urgence hors cycle pour quatre vulnérabilités jusque-là inconnues dans Exchange Server sur site et a attribué leur exploitation active à un groupe parrainé par l'État chinois qu'il a nommé Hafnium. La chaîne de vulnérabilités — collectivement connue sous le nom de ProxyLogon — permettait à un attaquant non authentifié de prendre le contrôle total d'un serveur Exchange exposé sur Internet, de lire toutes les boîtes aux lettres et d'implanter une porte dérobée persistante.

Les vulnérabilités

ProxyLogon était une chaîne d'exploitation reposant sur quatre CVE :

CVE-2021-26855 — une faille de falsification de requête côté serveur (SSRF) permettant à un attaquant non authentifié d'envoyer des requêtes forgées et de s'authentifier en tant que serveur Exchange. C'était la pierre angulaire.
CVE-2021-26857 — une faille de désérialisation non sécurisée dans le service Unified Messaging permettant l'exécution de code en tant que SYSTEM.
CVE-2021-26858 et CVE-2021-27065 — des failles d'écriture de fichier arbitraire post-authentification qui, combinées à la SSRF, permettaient aux attaquants d'écrire un web shell n'importe où sur le serveur.

Enchaînées, ces failles transformaient un serveur Exchange accessible en un système entièrement contrôlé par l'attaquant, sans nécessiter d'identifiants valides.

Ce qui s'est passé

Les opérateurs de Hafnium ont exploité la chaîne pour déposer des web shells basés sur ASP (telles que les variantes largement suivies « China Chopper »), puis ont utilisé ce point d'ancrage pour extraire la mémoire de LSASS afin de récupérer des identifiants, exporter des boîtes aux lettres et compresser les données avec 7-Zip en vue de l'exfiltration. Microsoft a qualifié l'activité initiale de Hafnium de limitée et ciblée, axée sur les sous-traitants de la défense américains, les cabinets d'avocats, les établissements d'enseignement supérieur, les chercheurs sur les maladies infectieuses et les groupes de réflexion.

La catastrophe est venue après la divulgation. Une fois le correctif et les indicateurs publics, au moins dix groupes de menaces distincts ont rétro-conçu le correctif et lancé un scan de masse indiscriminé, se précipitant pour compromettre les serveurs non corrigés avant que les administrateurs ne puissent agir. En quelques jours, on estime que plus de 60 000 organisations dans le monde ont été compromises, beaucoup laissées avec des web shells persistants même après l'application du correctif, car celui-ci fermait la brèche mais ne supprimait pas les portes dérobées déjà implantées.

Réponse

La CISA a émis la directive d'urgence 21-02 le 3 mars, ordonnant aux agences fédérales de corriger ou de déconnecter les serveurs affectés.
Microsoft a publié un outil d'atténuation en un clic et un scanner de sécurité pour aider les petites organisations.
Le 13 avril 2021, le DOJ américain a révélé une opération du FBI autorisée par la justice qui a proactivement retiré des web shells de centaines de serveurs américains compromis — un cas notable de remédiation directe de systèmes privés par les forces de l'ordre.
La famille de rançongiciels DearCry a commencé à exploiter les mêmes failles en quelques jours, transformant une infrastructure d'espionnage en vecteur de rançongiciel.

Pourquoi c'est important

ProxyLogon est l'événement d'exploitation de masse déterminant de 2021 et une étude de cas classique de la dynamique du délai de correction : la fenêtre entre la divulgation publique et le déploiement du correctif est devenue une frénésie où l'information même destinée à protéger les défenseurs a armé des dizaines d'attaquants. Il a renforcé le consensus de l'industrie selon lequel l'infrastructure de messagerie exposée sur Internet est une cible de premier ordre, accéléré la migration d'Exchange sur site vers le cloud géré, et confirmé que le correctif seul est insuffisant — une fois un serveur compromis, les défenseurs doivent traquer et évincer la persistance que l'attaquant a déjà établie.

Chronologie

3 janvier 2021

Les chercheurs de DEVCORE découvrent la chaîne SSRF ProxyLogon (CVE-2021-26855) et entament une divulgation coordonnée auprès de Microsoft.

2021-01-05 / 2021-01-06

DEVCORE et, indépendamment, Volexity signalent à Microsoft une exploitation active des zero-days d'Exchange.

1 février 2021

Hafnium et d'autres acteurs intensifient l'exploitation, scannant et compromettant les serveurs Exchange exposés sur Internet avant la publication d'un correctif.

2 mars 2021

Microsoft publie des correctifs d'urgence hors cycle pour les quatre CVE et attribue publiquement la campagne au groupe Hafnium, basé en Chine.

3 mars 2021

La CISA émet la directive d'urgence 21-02 ordonnant aux agences fédérales américaines de corriger ou de déconnecter les serveurs Exchange affectés.

1 mars 2021

Une exploitation de masse par plus de 10 groupes de menaces suit la divulgation publique ; on estime que plus de 60 000 organisations dans le monde sont compromises, beaucoup avec des web shells persistants.

12 mars 2021

La famille de rançongiciels DearCry est observée en train d'exploiter les mêmes vulnérabilités d'Exchange.

13 avril 2021

Le DOJ américain annonce une opération du FBI autorisée par la justice pour retirer des web shells malveillants de centaines de serveurs Exchange américains compromis.

Sources

microsoft.comhttps://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

cisa.govhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa21-062a

msrc.microsoft.comhttps://msrc.microsoft.com/blog/2021/03/multiple-security-updates-released-for-exchange-server/

unit42.paloaltonetworks.comhttps://unit42.paloaltonetworks.com/microsoft-exchange-server-attack-timeline/

Incidents liés

Faille zero-dayRésolu9 décembre 2021

Log4Shell (Apache Log4j CVE-2021-44228)

Une faille d'exécution de code à distance trivialement exploitable dans Apache Log4j 2, l'omniprésente bibliothèque de journalisation Java, a obtenu le score maximal CVSS 10.0 et exposé des centaines de millions d'appareils et d'applications dans le monde à une prise de contrôle instantanée via une simple chaîne de journalisation forgée.

Victim: Mondial (utilisateurs d'Apache Log4j dans le monde entier)

Faille zero-dayEn cours10 juin 2026

La faille zero-day « RoguePlanet » de Microsoft Defender octroie les privilèges SYSTEM (CVE-2026-47281)

Des chercheurs ont divulgué une faille zero-day d'élévation de privilèges dans Microsoft Defender, baptisée RoguePlanet (CVE-2026-47281), qui exploite une situation de compétition pour détourner une opération de fichier exécutée en tant que SYSTEM et accorder à un attaquant local un accès SYSTEM complet sur des machines Windows à jour.

Victim: Microsoft Defender

Faille zero-dayEn cours10 juin 2026

Faille zero-day d'Oracle PeopleSoft PeopleTools exploitée par ShinyHunters (CVE-2026-35273)

Oracle a publié une alerte d'urgence hors calendrier après que le groupe ShinyHunters a exploité une faille zero-day critique d'exécution de code à distance sans authentification dans PeopleSoft PeopleTools pour voler les données de plus de 100 organisations, en majorité des universités.

Victim: Oracle PeopleSoft

Faille zero-dayContenu9 juin 2026

Google corrige une faille zero-day activement exploitée dans le moteur V8 de Chrome (CVE-2026-11645)

Google a publié une mise à jour d'urgence de Chrome corrigeant CVE-2026-11645, une faille mémoire de gravité élevée dans le moteur V8 qui permet à une page web piégée d'exécuter du code arbitraire et pour laquelle un exploit circule déjà.

Victim: Google Chrome