Le ministère de la Sécurité intérieure a été affecté par une large intrusion en versions “sur site” de Microsoft SharePoint, selon plusieurs personnes familières avec la question.
L’Agence de sécurité de la cybersécurité et des infrastructures a informé plus d’une douzaine d’entités fédérales de compromis possible, a déclaré une personne. Un autre a fixé le total à au moins cinq agences.
Les gens ont parlé sous couvert d’anonymat parce que la question est sensible. Politico a signalé mardi une estimation de quatre à cinq agences.
DHS possède plusieurs agences de composants, notamment CISA, la Transportation Security Administration, la protection des douanes et des frontières et la Federal Emergency Management Agency.
Microsoft a déjà attribué une partie de l’activité de piratage aux groupes alignés par l’État chinois, mais on ne sait pas si les entités liées à la Chine elles-mêmes étaient responsables du Hit To DHS. Des correctifs de sécurité ont été mis à disposition pour toutes les versions affectées de SharePoint, a déclaré Microsoft dans un article de blog.
La National Nuclear Security Administration et le ministère de l’Éducation ont également été accessibles, a rapporté Bloomberg News, tandis que le Washington Post a rapporté que le ministère de la Santé et des Services sociaux avait été touché.
Les environnements de SharePoint du gouvernement américain contiennent souvent des informations sensibles sur le fonctionnement des agences et de leurs bureaux, ce qui en fait des objectifs de premier ordre pour les pirates et les cybercriminels de l’État-nation, a déclaré un analyste du gouvernement de la cybersécurité.
“Besoin d’un formulaire? Allez sur SharePoint. Besoin d’envoyer une mise à jour sur une tâche? Allez à SharePoint. Besoin d’obtenir des billets des réunions ou des diapositives de présentation? SharePoint”, a déclaré l’analyste, qui a obtenu l’anonymat parce qu’ils n’étaient pas autorisés à parler publiquement.
Les porte-parole du DHS et de la CISA n’ont pas immédiatement renvoyé les demandes de commentaires.
Les pirates exploitent des systèmes non corrigés pour accéder aux organisations du monde entier. Les systèmes gouvernementaux qatariens auraient été ciblés, selon deux personnes familières avec la question. NextGov / FCW a contacté l’ambassade du Qatar à Washington, DC et l’équipe de communications du Moyen-Orient de Microsoft pour commenter.
Le bogue est un «zéro-jour» – qui tire son nom parce que les développeurs ne l’avaient pas découvert auparavant et n’avaient aucun jour pour le réparer – qui est activement exploité. Les pirates peuvent tirer parti de la vulnérabilité en envoyant des données spécialement conçues à un serveur SharePoint, qui traite mal cette entrée et leur permet d’exécuter du code maligne à distance sans avoir besoin d’un mot de passe.
Des milliers de gouvernements d’État et locaux comptent fortement sur les produits Microsoft. Le centre de partage et d’analyse d’informations multiples, qui fournit des ressources de cybersécurité aux gouvernements de l’État américain, local, territorial et tribal, a détecté des centaines de groupes vulnérables, a déclaré un responsable de l’organisation.
«La CISA est consciente des agences fédérales et [state, local, tribal and territorial] Des partenaires qui peuvent être affectés par cette activité et nous travaillons avec eux pour évaluer la portée et atténuer les risques associés à cette vulnérabilité », a précédemment déclaré un haut responsable de la CISA à NextGov / FCW.
Microsoft Systems a été la cible des précédents tentatives de piratage du gouvernement américain, dont une liée à la Chine où les pirates ont piloté des milliers de courriels en 2023 à partir de boîtes de réception des e-mails du Département d’État et du Commerce.
