Un expert en sécurité a révélé que les serveurs d’échange de Microsoft sont « piratés plus rapidement que nous ne pouvons compter ».
Les menaces continuent de persister, malgré les correctifs, des mois après avoir été identifiées pour la première fois par le personnel de sécurité de l’entreprise.
Quelle est la menace?
Le serveur Microsoft Exchange a été la cible d’innombrables cyberattaques au cours des derniers mois, dont la majorité visait des vulnérabilités zero-day. La société a déclaré qu’elle avait découvert quatre exploits zero-day en janvier de cette année et avait précipité des correctifs d’urgence au début du mois de mars. Parmi les vulnérabilités système les plus dangereuses que vous puissiez avoir, les exploits zero-day se produisent avant que le propriétaire du réseau ne sache même que la vulnérabilité exploitée existe.
Microsoft a déterminé avec « une grande confiance » au début du mois de mars que le groupe parrainé par l’État chinois Hafnium est responsable des attaques les plus récentes. Cependant, au moins 10 autres menaces persistantes avancées ont été découvertes ciblant leurs systèmes depuis le début du mois.
À chaque fois, il y a bien sûr la crainte que les attaquants tentent de voler des informations sensibles, mais aussi qu’ils puissent essayer de découvrir de nouveaux exploits du système et des points d’entrée pour ouvrir la voie à de nouvelles attaques.
le rapports les plus récents détaillez comment des exploits tels que la vulnérabilité ProxyLogon sont ciblés par un groupe appelé BlackKingdom, qui exploite les fragilités pour déployer des ransomwares. Les victimes seraient invitées à payer 10000 dollars en Bitcoin pour s’assurer que leurs serveurs ne sont pas chiffrés.
On pense que les grandes entreprises qui n’ont pas encore appliqué les correctifs de sécurité publiés par Microsoft sont la cible de la plupart de ces attaques. Selon les experts en sécurité F-sécurisé, seule la moitié des serveurs d’échange visibles sur Internet ont appliqué les correctifs, donc beaucoup sont encore mûrs pour l’exploitation.
Qu’ont dit les experts?
L’inquiétude au sein de la communauté de la sécurité semble généralisée. Plusieurs chercheurs ont récemment publié plus d’informations sur le volume des menaces présentes:
Des dizaines de milliers de serveurs ont été piratés dans le monde. Ils sont piratés plus rapidement que nous ne pouvons compter. Globalement, c’est un désastre en devenir
Tout en discutant des attaques les plus récentes, le chercheur en sécurité Marcus Hutchins de MalwareTechBlog a déclaré que « quelqu’un vient d’exécuter ce script sur tous les serveurs Exchange vulnérables via la vulnérabilité ProxyLogon. Il prétend être BlackKingdom ‘Ransomware’, mais il ne semble pas crypter les fichiers, il dépose simplement une note de rançon dans chaque répertoire ».
« D’après mon backlog de pot de miel, le même attaquant a exécuté le script suivant quelques jours auparavant, mais il a échoué », il ajouta.
Qu’a fait Microsoft pour résoudre le problème?
Microsoft rappelle à tous les utilisateurs de s’assurer qu’ils ont installé les mises à jour les plus récentes conçues pour corriger les problèmes de sécurité les plus graves affectant les serveurs et les systèmes de Microsoft.
Microsoft a également pris des mesures proactives pour atténuer les risques d’attaques. Un changement récent est un outil d’atténuation en un clic, créé comme une solution de sécurité pour réduire les dommages causés aux clients pendant qu’ils installent progressivement les correctifs. La société a également créé un outil d’atténuation automatique qui vit désormais dans son programme Defender Antivirus:
La mise à jour de sécurité d’Exchange reste le moyen le plus complet de protéger vos serveurs contre ces attaques et d’autres corrigées dans les versions précédentes. Cette atténuation provisoire est conçue pour aider à protéger les clients pendant qu’ils prennent le temps d’implémenter la dernière mise à jour cumulative d’Exchange pour leur version d’Exchange.
Comme mentionné ci-dessus, ces outils d’atténuation sont au mieux des outils d’atténuation – ils réduisent ou minimisent les menaces existantes et ne constituent pas un moyen infaillible de débarrasser le système des menaces persistantes. C’est pourquoi Microsoft investit tant de temps pour inciter les utilisateurs à télécharger leurs mises à jour avec les correctifs appropriés.
Certains experts en sécurité conseillent aux entreprises qui utilisent les serveurs Microsoft Exchange de restreindre l’accès Internet ouvert à leurs réseaux.
« Ils devraient également envisager de rendre leur serveur Exchange accessible uniquement à leurs utilisateurs et non à tout Internet – via l’utilisation d’un VPN, par exemple » a déclaré Matthieu Faou, chercheur sur les logiciels malveillants chez ESET.
Il a continué, « Microsoft Exchange est une application très complexe. En tant que telle, il est possible que d’autres failles soient découvertes dans les années à venir, et la protéger derrière un VPN laisse le temps de patcher l’application avant qu’elle ne soit réellement exploitée ».