Joerg Habermeier - stock.adobe.c
Caché d’Internet, un serveur Exchange n’est pas à l’abri d’une attaque
De nombreux groupes conservent un serveur Exchange en interne tout en ayant souscrit à Microsoft 365. Une configuration qui peut donner un faux sentiment de sécurité. Et les attaquants en ont déjà fait la démonstration.
Ce vendredi 26 novembre, Bleeping Computer révélait qu’Ikea est confronté à une cyberattaque. Selon nos confrères, cette attaque est basée sur un détournement de conversations tenues par e-mail : Ikea alerte ses collaborateurs, dans des courriels internes, de la menace d’e-mails de phishing les visant et pouvant provenir d’autres collaborateurs de l’enseigne, de ses filiales, ou encore de ses partenaires. Comme ces courriels peuvent avoir l’apparence de réponses à des messages antérieurs, ils n’en sont que plus difficiles à repérer.
Cette technique n’est pas nouvelle. Emotet, qui a fait son retour mi-novembre, détourne des conversations par e-mail, et dans le cas présent, « tout à fait récentes, du mois dernier », relevait le collectif Cryptolaemus (spécialisé dans la surveillance de l’activité d’Emotet). Qakbot (aussi appelé Qbot) exploite également cette technique. Mais cela vaut également pour le plus récent Squirrelwaffle.
Mais pour détourner des conversations par e-mail, Squirrelwaffle ne se contente pas de s’inviter sur le poste de travail de l’utilisateur final : selon Trend Micro, il exploite les vulnérabilités ProxyLogon et ProxyShell de serveurs Exchange pour éviter que les messages ne circulent par un agent de transfert de messagerie. De quoi au passage contourner certaines protections de la messagerie.
TrueSec décrivait, mi-novembre, des attaques impliquant Qbot, l’exploitation de ProxyShell, et, in fine, le déploiement du ransomware Conti.
Les vulnérabilités ProxyLogon et ProxyShell ont fait couler beaucoup d’encre cette année. Les correctifs ont été appliqués pour bon nombre de serveurs affectés, comme cela a pu être suivi par des moteurs de recherche spécialisés tels qu’Onyphe et Shodan. Cependant, ces moteurs ne peuvent voir que ce qui est directement accessible sur Internet. Et ce n’est pas le cas de tous les serveurs Exchange.
De fait, les clients Microsoft 365 peuvent choisir une configuration hybride, établissant des connecteurs entre leur instance du service Cloud de Microsoft et leurs serveurs de messagerie internes, on premise. L’éditeur décrit pas à pas comment établir ces connecteurs.
Dans une telle configuration, il peut être tentant, pour les administrateurs, de ne pas considérer l’application des correctifs relatifs aux vulnérabilités ProxyLogon et ProxyShell comme prioritaire, du fait de l’absence d’exposition directe sur Internet des serveurs Exchange concernés.