Aux États-Unis, la menace de quatre vulnérabilités de type « zero-day» affectant la sécurité de Microsoft Exchange (et par ricochet l’usage du client de messagerie Outlook) est en hausse, plaçant Washington sur le qui-vive, où l’on craint un scandale de type SolarWinds. Malgré les récents correctifs apportés la maison mère, un certain nombre de systèmes non corrigés sur Microsoft Exchange restent vulnérables, exposant des dizaines de milliers d’organisations basées outre-Atlantique et au-delà.
L’impact des correctifs sur Microsoft Exchage
Plusieurs vulnérabilités de type « zero-day » découvertes dans les serveurs Microsoft Exchange ont été exploitées par Hafnium, un acteur ayant de solides ancrages avec l’État Chinois. Ces failles, qui permettent de créer un backdoor ou porte dérobée, et par conséquent d’accéder sans restriction aux données et aux détails des mails (grâce à un webshell permettant de contrôler un appareil à distance), ont chacune reçu un correctif le 2 mars.
Cependant, les mesures prises par Microsoft étaient insuffisantes et le problème semble être beaucoup plus répandu. Aujourd’hui, la Maison-Blanche demande aux opérateurs de réseaux de prendre toutes les mesures nécessaires pour éliminer toute menace ou accès à leurs systèmes suite à ces défaillances. Selon Washington, les correctifs en ligne n’ont pas réglé le problème. Les correctifs ont eu peu d’effets sur les systèmes déjà compromis. Plusieurs dizaines de milliers d’organisations, tant aux États-Unis que dans le reste du monde, auraient été touchées par ce nouvelle cyber-attaque massive.
Plusieurs gangs de cybercriminels pourraient profiter des failles Microsoft Exchange
Hafnium, la société à l’origine de l’exploitation de ces failles, ne travaille qu’avec des entités spécifiques. Notamment celles qui appartiennent à des secteurs sensibles comme la santé, le droit, la recherche et les organisations non gouvernementales. Mais récemment, Microsoft a publié une déclaration alarmante, affirmant qu’ils ont observés une utilisation accrue de ces vulnérabilités dans des attaques ciblant des systèmes qui n’ont pas été patchés par plusieurs hackers au-delà de Hafnium.
Plusieurs autres groupes auraient déjà exploité ces failles, selon diverses sources et professionnels consultés, et certains groupes axés sur les ransomwares pourraient entrer en lice prochainement, pour le plus grand préjudice des victimes, dans ce qui semble être une nouvelle grande affaire de cybercriminalité.
Pour bien comprendre le problème, il est nécessaire de savoir si les vulnérabilités ont été efficacement corrigées ou non. Cela signifie qu’elles ne peuvent plus être exploitées dans leur état actuel. Pour l’instant, chaque entité touchée (il y en a probablement des milliers) reste exposée jusqu’à ce que des mesures correctives soient prises.
Si ces organisations veulent se libérer de la menace, elles doivent supprimer manuellement les webshells et les logiciels malveillants qui installés. Assurer la sécurité de Microsoft Exchange nécessité d’être accompagné. N’hésitez pas à nous contacter pour cela.