Selon DataBreachToday.eu, une intrusion a visé le réseau de la Chambre des communes du Canada, compromettant une base sensible contenant des informations de localisation de bureaux et des données personnelles d’élus et d’employés. Un courriel interne obtenu par CBC News indique que la base contenait des informations utilisées pour gérer des ordinateurs et des mobiles, compromises via l’exploitation d’une vulnérabilité récente Microsoft. Le Bureau du Président (House of Commons) a déclaré travailler avec ses partenaires de sécurité nationale et n’a pas donné plus de détails pour des raisons de sécurité.
Les données affectées incluent des nom et fonction, adresses e‑mail, ainsi que des détails d’appareils (modèles, systèmes d’exploitation) et numéros de téléphone. La base exacte n’est pas identifiée et l’accès à d’autres données n’est pas établi.
Le Centre canadien pour la cybersécurité avait averti en juillet d’exploitations en cours d’un zero‑day SharePoint. Microsoft a publié un correctif d’urgence qualifié par le CTO de Mandiant de « exceptionnellement urgent et drastique ». La CISA a décrit la faille d’exécution de code à distance, connue publiquement sous le nom « ToolShell », permettant un accès non authentifié et un accès authentifié via usurpation réseau, offrant un contrôle complet du contenu SharePoint (y compris systèmes de fichiers et configurations). Mandiant souligne que ce n’est pas un simple « patch and done » et recommande d’implémenter des mitigations en plus du correctif.
Microsoft indique que des acteurs cherchant un accès initial incluent des groupes étatiques chinois suivis sous les noms Linen Typhoon et Violet Typhoon, ainsi que possiblement Storm‑2603. Selon Microsoft, Linen privilégie des compromissions « drive‑by » via des exploits connus, tandis que Violet scanne de façon persistante les infrastructures web exposées.
IOCs et TTPs
- IOCs: aucun indicateur technique fourni dans l’article
- TTPs: exploitation d’un RCE SharePoint « ToolShell »; accès non authentifié et usurpation réseau; accès initial via SharePoint; drive‑by compromises (Linen Typhoon); scan persistant de vulnérabilités (Violet Typhoon) 🚨
Il s’agit d’un article de presse spécialisé visant à informer sur une compromission touchant le Parlement canadien et à relayer les alertes officielles concernant la vulnérabilité SharePoint associée.
🔗 Source originale : https://www.databreachtoday.eu/hackers-breach-canadian-government-via-microsoft-exploit-a-29228