Vulnérabilités Exchange : comment éviter de laisser des attaquants dans la place
L’application des correctifs proposés par Microsoft n’est pas suffisante. S’en contenter, c’est risquer de laisser une menace dormante dans son système d’information. Surtout que l’exploitation des vulnérabilités a commencé en janvier.
Microsoft a publié, tout début mars, en urgence et hors cycle habituel, des correctifs pour quatre vulnérabilités affectant les serveurs Exchange 2013, 2016 et 2019. Exploitées de manière combinée, dans le cadre d’une attaque désormais appelée proxylogon, elles permettent de compromettre en profondeur les serveurs de messagerie affectés. Les cibles potentielles se compteraient par dizaines de milliers à travers le monde. Selon Brian Krebs, rien moins que 30 000 organisations aux États-Unis auraient été effectivement compromises.
L’Autorité bancaire européenne indique elle-même avoir été, non seulement concernée, mais aussi attaquée par ce biais. Ses communiqués laissent imaginer que des assaillants ont profité des vulnérabilités pour déposer un webshell sur le serveur concerné, mais n’ont pas encore eu le temps d’aller au-delà, et encore moins de dérober au passage des données. Les autorités tchèques enquêtent de leur côté sur de possibles compromissions au ministère du Travail et des Affaires sociales, ainsi que dans les services postaux.
Appliquer et vérifier
En fait, la situation apparaît d’autant plus critique que l’exploitation des vulnérabilités proxylogon apparaît désormais avoir commencé plus tôt qu’estimé précédemment : selon les équipes Mandiant de FireEye, les premiers cas avérés remontent en fait au mois de janvier. Veloxity évoque même le début de ce mois. Dès lors, plusieurs précautions s’imposent.
La première des mesures à prendre consiste de toute évidence à appliquer les correctifs disponibles, au plus vite. L’histoire montre que c’est loin d’être systématiquement le cas. Les chiffres des moteurs de recherche spécialisés Onyphe et Shodan également. Le premier recense près de 400 serveurs Exchange vulnérables en France, au 8 mars. Le second est plus généreux et avance le chiffre de 2 770.
Et il convient également de s’assurer que l’application des correctifs est effective. En particulier, Microsoft explique qu’en cas de tentative d’exécution manuelle de la mise à jour en tant qu’utilisateur sans droits administratifs, certains fichiers ne sont pas correctement mis à jour… sans qu’aucun message d’erreur ne se laisse entrevoir : l’exécutable de mise à jour doit être lancé en tant qu’administrateur pour éviter cela.
Mais puisque l’exploitation des vulnérabilités proxylogon apparaît avoir commencé bien avant que les correctifs ne soient disponibles, il n’est pas question de se contenter d’appliquer ceux-ci et de se dire que tout va bien : il convient de chercher des indicateurs de compromission susceptibles de trahir des activités malveillantes antérieures à l’application des correctifs.
Chasser l’intrus
Comme l’indiquent les autorités américaines, Microsoft a produit des scripts PowerShell à cette fin. Et elles « recommandent fortement aux organisations de les exécuter le plus vite possible pour aider à déterminer si leurs systèmes ont été compromis ».
Et si mener l’investigation n’est pas possible, Dmitri Alperovitch, ancien directeur technique de CrowdStrike, recommande « au minimum de réinitialiser les mots de passe de tous les comptes connus, pour ouvrir des sessions sur le serveur » Exchange concerné ; après avoir appliqué les correctifs et supprimé d’éventuels webshells ayant pu être déposés par des attaquants.
Pourquoi cela ? Parce que, relève l’expert Andrew Thompson, « les adversaires cherchent comment persister après l’exploitation. Et l’une des façons les plus faciles [pour cela] est de collecter des identifiants ». Le consultant Beau Woods ne dit pas autre chose : « les systèmes vulnérables ont été activement attaqués pour au moins trois jours, et vous êtes probablement déjà compromis ».
En cela, la situation n’est pas sans rappeler celle provoquée par d’autres vulnérabilités, comme celles ayant touché, au cours des dernières années, des systèmes d’accès distant Citrix, PulseSecure, ou encore Fortinet, notamment.
Un jeu de cache-cache
Mais voilà, trouver et éliminer les webshells déposés par des attaquants ne sera peut-être pas facile. Microsoft propose des outils d’analyse des serveurs concernés pour les détecter. Le jeu du chat et de la souris est déjà engagé.
John Ferrell, co-fondateur d’Huntress Labs, explique ainsi que « les attaquants utilisant les vulnérabilités Exchange cherchent à nettoyer certains shell et à en cacher d’autres ». Une surprise ? Non. Comme, encore une fois, pour d’autres vulnérabilités permettant de s’installer dans un système d’information, de premiers attaquants peuvent être pris de vitesse par des seconds prenant soin de couper l’herbe sous le pied de leurs prédécesseurs, afin de s’assurer une forme d’accès exclusif à l’infrastructure de leur victime qui s’ignore.