icetray - Fotolia
Exchange : des correctifs à appliquer d’urgence
Microsoft a publié un bulletin d’alerte sur quatre vulnérabilités inédites affectant les serveurs Exchange 2013, 2016 et 2019. Elles sont activement exploitées par un acteur. Mais d’autres devraient rapidement s’en inspirer.
Branle-bas de combat dans de nombreuses entreprises et administrations à travers le monde : Microsoft vient de publier en urgence des correctifs pour quatre vulnérabilités affectant Exchange 2013, 2016 et 2019. Dans une note d’information, l’éditeur explique que celles-ci sont actuellement exploitées par des attaquants afin de déployer des web shells sur les serveurs compromis : de quoi leur permettre d’accéder tranquillement à leurs données.
Les équipes de Microsoft attribuent ces attaques au groupe nommé Hafnium, « estimé soutenu par un état et opérant à partir de la Chine », mais utilisant pour cela des serveurs privés virtuels loués outre-Atlantique, et exfiltrant ses données « vers des sites de partage de fichiers tels que Mega ». L’éditeur fournit des indicateurs de compromission (IoC) et suggère des approches de réduction du risque. Tout en recommandant de mettre à jour tout serveur Exchange exposé sur Internet. Mais, les vulnérabilités sont graves en cela qu’elles permettent notamment de contourner les mécanismes d’authentification, comme l’explique Veloxity. Selon ce dernier, qui a observé l’exploitation des vulnérabilités courant janvier, la campagne d’attaques a démarré cinq jours après le Nouvel An. Cependant, selon Kyle Hanslovan d’Huntress Labs, l’exploitation desdites vulnérabilités a commencé en masse autour du 27 février.
Cert-FRBulletin d'alerte du 3 mars 2021
De leur côté, les équipes d’Eset estiment qu’il faut en fait compter aujourd’hui avec trois groupes de cyberespionnage tentant d’exploiter ces vulnérabilités affectant les serveurs Exchange. Si l’immense majorité des opérations concerne les États-Unis, 8 cibles en France ont été relevées. De son côté, le moteur de recherche spécialisé Spyse fait état de plus de 280 000 systèmes potentiellement vulnérables à travers le monde. En France, Shodan fait ressortir plus d’une dizaine de milliers de serveurs Exchange exposés sur Internet.
De son côté, le Cert-FR recommande de « déconnecter immédiatement les serveurs Exchange qui seraient exposés sur Internet sans protection le temps d’appliquer les correctifs », mais également d’appliquer ces derniers « immédiatement », ainsi que de « procéder à l’analyse des serveurs Exchange, afin d’identifier une possible compromission » et… « en cas de compromission, de contrôler le système d’information pour détecter d’éventuelles latéralisations ainsi qu’une compromission des serveurs Active Directory ».