Plus de 100 000 serveurs Exchange toujours vulnérables, dont des milliers au Canada
Le potentiel de piratage des e-mails causé par des vulnérabilités dans les installations sur site d’Exchange Server de Microsoft continue de croître. Palo Alto Networks estime que plus de 125 000 serveurs restent non corrigés sept jours après l’émission de la première alerte.
Cela comprend 4 500 serveurs au Canada, 33 000 aux États-Unis, 21 000 en Allemagne, 7 900 au Royaume-Uni, 5 100 en France et 4 600 en Italie.
Pendant ce temps, Microsoft a maintenant publié des mises à jour de sécurité pour les versions non prises en charge suivantes en plus d’émettre des correctifs pour les versions prises en charge d’Exchange Server:
Palo Alto Networks avertit que même les systèmes corrigés auraient pu être compromis parce que ces vulnérabilités étaient activement exploitées pendant au moins deux mois avant que les correctifs de sécurité ne soient disponibles.
«L’installation des mises à jour de sécurité hors bande pour votre version d’Exchange Server est très importante, mais cela ne supprimera aucun logiciel malveillant déjà installé sur les systèmes et n’expulsera aucun acteur de la menace présent sur le réseau», a noté la société.
Selon le journaliste de sécurité Brian Krebs, la première indication de problème est venue d’un fournisseur de sécurité appelé Devcore, qui a notifié Microsoft le 5 janvier. Le lendemain, un fournisseur appelé Volexity a fait de même. Le 18 février, Microsoft prévoyait de publier des mises à jour de sécurité lors du prochain patch régulier le mardi 9 mars. Cependant, ce que Microsoft considérait initialement comme des exploitations ciblées s’était progressivement transformé en une analyse de masse mondiale, les attaquants faisant rapidement une porte dérobée aux serveurs vulnérables. Cela a conduit à la divulgation publique du 2 mars et à l’alerte de Microsoft.
Cela a conduit les chercheurs à croire que les vulnérabilités étaient exploitées pendant au moins deux mois avant que les correctifs de sécurité ne soient disponibles.
Devcore a surnommé deux des quatre vulnérabilités majeures ProxyLogon, dont l’une permet à un attaquant de contourner l’authentification et de se faire passer pour l’administrateur. L’autre permet l’exécution de code.
Corrigez d’abord, étudiez après
Dans un article de blog de mardi, Palo Alto Networks note que Microsoft attribue la campagne initiale à un groupe parrainé par l’État hors de Chine. D’autres chercheurs ont vu plusieurs acteurs menaçants exploiter désormais ces vulnérabilités du jour zéro. Parce qu’il soupçonne que les bogues ont été exploités pendant des semaines, Palo Alto Networks avertit que même si Exchange est corrigé immédiatement, les serveurs pourraient toujours être compromis par des attaques antérieures.
Les chercheurs de Palo Alto recommandent d’abord le correctif aux administrateurs, puis déterminent si les serveurs ont été compromis. Microsoft a publié des scripts PowerShell et Nmap pour vérifier Exchange Server pour les indicateurs de compromission de ces exploits. Un autre script, disponible sur le même lien, met en évidence les différences entre les fichiers des répertoires virtuels d’un serveur Exchange et ceux attendus pour la version Exchange spécifique d’une organisation. L’Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a également publié une liste de tactiques, techniques et procédures (TTP).
«En regardant l’approche des mauvais acteurs, il semble qu’ils aient essayé d’exploiter ces failles et de maintenir leur persévérance partout où ils le pouvaient», a déclaré Satnam Narang, ingénieur de recherche chez Tenable. «Dans ce cas, il semble que les mauvais acteurs utilisent l’analyse et l’exploitation automatisées pour capitaliser sur la vulnérabilité avant l’application des correctifs. À ce stade, les attaquants savent que ces vulnérabilités sont brûlées, donc avant qu’une organisation puisse appliquer ces correctifs, si elle est capable d’implanter avec succès un shell Web, ils peuvent au moins maintenir la persistance, en supposant que l’organisation ne fasse rien d’autre que d’appliquer les correctifs. . Cela dit, l’un des défis est que toutes les organisations n’appliquent pas les correctifs rapidement, voire pas du tout. »
Cette attaque devrait servir de signal d’alarme pour les entreprises, en particulier celles qui sont encore sur l’ancien serveur Exchange, a déclaré Dave Wagner, PDG de Zix, un fournisseur de cryptage d’e-mails. «Il est particulièrement temps de migrer vers le cloud maintenant. Bien que Microsoft ait déjà corrigé la vulnérabilité, les acteurs de la menace et d’autres vont reconnaître la faiblesse et en tirer parti pour des attaques supplémentaires à l’avenir. »
Recommanderiez-vous cet article?
Nous aimerions connaître votre opinion sur cette histoire ou sur toute autre histoire que vous lisez dans notre publication. Cliquez sur ce lien pour m’envoyer une note →
Jim Love, Chef du contenu, IT World Canada
Téléchargement connexe 
Parrainer: CanadianCIO
Conversations sur la cybersécurité avec votre conseil d’administration – Un guide de survie
GUIDE DE SURVIE PAR CLAUDIO SILVESTRI, VICE-PRÉSIDENT ET CIO, NAV CANADA
Télécharger maintenant