Votre serveur Microsoft Exchange a-t-il été mis à jour ? | Agoria

Votre serveur Microsoft Exchange a-t-il été mis à jour ?

Image
Publié le 16/03/21
Alors que le monde cybernétique se remet à peine de la dernière cyberattaque de grande envergure, l'attaque de la chaîne d'approvisionnement de Solarwinds, l'attaque de grande envergure suivante est déjà en cours. Cette fois, ce sont les serveurs Microsoft Exchange qui en sont la cible.

Depuis quelques semaines, Microsoft et d'autres acteurs du monde de la sécurité ont constaté une augmentation des attaques contre des serveurs Exchange (les comptes de messagerie professionnelle de Microsoft), installés dans une configuration sur site ou hybride dans les entreprises.

Il est important d’opérer une distinction entre les configurations « sur site », « hybrides » ou « en ligne » de Microsoft Exchange.  La configuration sur site signifie que votre logiciel a été installé dans l’entreprise même, sur les ordinateurs et serveurs de l’entreprise. La configuration hybride indique que votre logiciel a été installé aussi bien dans l’entreprise qu’en ligne (dans le cloud). La cyberattaque Hafnium vise ces deux configurations, mais pas du tout les entreprises dont les services Exchange se trouvent uniquement en ligne (dans le cloud).

Que se passe-t-il exactement ?

Tout a commencé par une attaque « État-nation », sous le nom Hafnium. Dans ce cadre, des vulnérabilités ont été décelées et exploitées au niveau d’Exchange. Après l’attaque, les pirates ont pu avoir accès à des environnements Exchange d’entreprises et accéder ensuite à des comptes administrateurs et ainsi continuer à infiltrer l’environnement.

Pour remédier à ces vulnérabilités, Microsoft a publié un certain nombre de mises à jour le 2 mars 2021 (voir lien ci-dessous). Microsoft a également publié une mise à jour pour Exchange 2010, une version qui ne bénéficie plus du support de Microsoft.

Certains groupes malveillants installent des « web shells » (codes encoquillés) dans des entreprises, ce qui leur donne un accès et un contrôle à distance par le biais d’un serveur en ligne. Cela leur permet de garder une ligne de communication ouverte avec les entreprises, afin de déclencher une attaque plus tard. Il est dès lors très important de détecter le plus rapidement possible ces piratages. Pour les entreprises qui n’ont pas installé la solution Microsoft Defender, Microsoft a lancé un outil distinct permettant de détecter et supprimer efficacement les web shells (plus d’infos en suivant le lien ci-dessous).

Dans certains cas, il est possible que les pirates aient installé, outre les web shells, également d’autres logiciels malveillants leur permettant de procéder à une attaque plus tard (un ransomware, p.ex.). C’est pourquoi il est important que l’environnement soit examiné en vue de détecter toutes les situations suspectes.

Que doivent faire les organisations le plus rapidement possible ?

  1. Installer un correctif sur les systèmes, à savoir un petit logiciel pour corriger les bugs et/ou effectuer des mises à jour ;
  2. Éliminer tous les web shells possibles ;
  3. Rechercher des éléments tels que des connexions d'utilisateurs suspectes dans des comptes existants, de nouveaux comptes avec un nombre suspect d’autorisations, un trafic sortant suspect via http(s), des tâches automatisées sur des points d'extrémité, etc. Il s'agit là d'activités typiques des pirates informatiques pour parvenir à toucher le cœur des entreprises.

Cette dernière étape n'est certainement pas sans importance ! N'oubliez pas de contacter votre expert en cybersécurité pour vérifier que votre serveur n'est pas encore exploité.

 

Lire également:

Cet article était-il utile ?