Vulnérabilités férocement exploitées dans le serveur de MS Exchange

Des hackers exploitent quatre vulnérabilités dangereuses dans Microsoft Exchange pour pénétrer dans le réseau de l’entreprise.

Microsoft a publié des correctifs hors bande pour plusieurs vulnérabilités dans le serveur Exchange. Selon l’entreprise, quatre de ces vulnérabilités sont déjà utilisées pour perpétrer des attaques ciblées, c’est pour cela qu’il serait prudent d’installer les correctifs le plus rapidement possible.

Quel est le risque ?

Les quatre vulnérabilités les plus dangereuses déjà exploitées permettent aux hackers de monter une attaque en trois étapes. Tout d’abord, ils accèdent à un serveur Exchange, puis ils créent un « Web shell » (code encoquillé) pour y avoir accès à distance, et enfin ils utilisent cet accès pour voler les données du réseau de la victime. Les vulnérabilités sont les suivantes :

  • CVE-2021-26855, qui peut être utilisée pour une « server-side request forgery » (falsification de requête côté serveur), ce qui amène à une exécution du code à distance ;
  • CVE-2021-26857, qui peut être utilisée pour une exécution de code arbitraire au nom du système (bien que cette action exige les droits administrateur ou l’exploitation de la vulnérabilité précédente) ;
  • CVE-2021-26858 et CVE-2021-27065, qui peuvent être utilisées par un hacker pour écraser les fichiers du serveur.

Les cybercriminels utilisent les quatre vulnérabilités ensemble. Cependant, selon Microsoft, au lieu de lancer une première attaque, ils utilisent parfois des identifiants volés et se connectent sur le serveur sans avoir à utiliser la vulnérabilité CVE-2021-26855.

De plus, le même correctif corrige quelques vulnérabilités mineures dans Exchange qui ne sont pas (à notre connaissance) directement liées aux attaques ciblées actives.

Qui est en danger ?

La version Cloud d’Exchange n’est pas touchée par ces vulnérabilités ; elles ne posent problème qu’aux serveurs déployés au sein de l’infrastructure. Microsoft a publié des mises à jour pour Microsoft Exchange Server 2013, Microsoft Exchange Server 2016 et Microsoft Exchange Server 2019, ainsi qu’une mise à jour supplémentaire de « Défense en profondeur » pour Microsoft Exchange Server 2010. Cependant, du fait de la gravité de l’exploitation, Microsoft a par la suite ajouté  des corrections pour les serveurs Exchange obsolètes.

Selon des chercheurs de Microsoft, ce sont les hackers du groupe Hafnium qui ont exploité les vulnérabilités afin de voler des données confidentielles. Parmi leurs cibles, on trouve des sociétés industrielles aux États-Unis, des chercheurs en maladies infectieuses, des cabinets d’avocats, des organisations à but non lucratif ainsi que des politologues. Le nombre exact de victimes reste inconnu, mais selon des sources de KrebsOnSecurity, au moins 30 000 organisations aux États-Unis ont été piratées par le biais de ces vulnérabilités, dont des petites entreprises et des administrations publiques et locales. Nos experts ont dévoilé que les entreprises américaines ne sont pas les seules en danger puisque les cybercriminels du monde entier utilisent ces vulnérabilités. Vous pouvez trouver plus d’informations à propos des lieux des attaques dans la publication de Securelist.

Comment éviter les attaques sur MS Exchange

  • Tout d’abord, installez le correctif du serveur Microsoft Exchange pour protéger votre installation. Si votre société utilise une version antérieure d’Exchange et ne peut pas installer les mises à jour, Microsoft recommande quelques solutions.
  • Selon Microsoft, refuser un accès non fiable au serveur Exchange sur le port 443 ou limiter les connexions depuis l’extérieur du réseau de l’entreprise peuvent parer la première phase de l’attaque. Mais cela ne sera d’aucune aide si les hackers sont déjà à l’intérieur de l’infrastructure ou s’ils obtiennent les droits d’administrateur pour lancer un fichier malveillant.
  • Un logiciel de type EDR (si vous avez à votre disposition des experts en interne) ou bien des spécialistes externes du service « Managed Detection and Response » (MDR) peuvent détecter un comportement malveillant.
  • Gardez toujours à l’esprit que tout ordinateur connecté à internet, qu’il s’agisse d’un serveur ou d’un poste de travail, requiert l’installation d’une solution de sécurité fiable sur les terminaux pour éviter d’éventuelles exploitations et détecter en amont les comportements malveillants.
Conseils