L'actualité a beaucoup parlé récemment d'une nouvelle série de vulnérabilités affectant Microsoft Exchange et d'attaques contre ces vulnérabilités. Selon le rédacteur en sécurité Brian Krebs, plus de 30 000 organisations aux États-Unis - et peut-être des centaines de milliers d'organisations dans le monde - ont été compromises par des attaques contre ces vulnérabilités.

Cette situation peut affecter de manière disproportionnée les petites et moyennes entreprises (PME) et d'autres organisations plus petites, comme les gouvernements des États et les collectivités locales.

Ce billet de blog est destiné à aider ces organisations à mieux comprendre la situation et ce qu'elles doivent faire. Il y a beaucoup d'informations, mais elles sont principalement fournies par des équipes de sécurité pour d'autres équipes de sécurité, et il se peut donc que vous ne sachiez pas très bien ce qui se passe et ce que vous devez faire, le cas échéant.

Cela vous concerne-t-il ?

La première chose à faire est de déterminer si cela vous concerne.

Les vulnérabilités en question n'affectent que les serveurs de messagerie Microsoft Exchange. Cela signifie que si votre entreprise ou organisation n'utilise pas du tout Microsoft Exchange, vous n'êtes pas concerné et n'avez pas à vous en préoccuper (et vous pouvez arrêter de lire ceci). Par exemple, si votre organisation utilise Google GSuite pour le courrier électronique, vous n'êtes pas concerné.
Si vous utilisez Microsoft Exchange, la question suivante se pose : Avez-vous des serveurs réels qui hébergent Exchange ou utilisez-vous l'offre de Microsoft pour le cloud d'Exchange via Office365 ?

Si vous utilisez Office365, vous n'avez pas à vous inquiéter : Microsoft a pris en charge le correctif et la sécurité de ces serveurs et rien n'indique que cela ait eu un impact sur Office365.

Si vous disposez de vos propres serveurs, cela s'applique à vous et vous devez prendre des mesures immédiatement.

Que se passe-t-il et quels sont les risques ?

Pour comprendre ce que vous devez faire, il est utile de comprendre les bases de ce qui se passe.

Au cours de la première semaine de mars 2021, Microsoft et des chercheurs en sécurité ont révélé quatre vulnérabilités de Microsoft Exchange qui faisaient l'objet d'une attaque active. Les vulnérabilités sont des failles dans les logiciels qui peuvent permettre des attaques. Dans le cas présent, ces vulnérabilités permettent aux attaquants de s'emparer complètement du serveur Exchange.

Lorsque les correctifs ont été publiés, Microsoft a déclaré qu'il y avait des « attaques limitées et ciblées ». Cependant, dans les jours qui ont suivi, les attaquants ont augmenté de façon exponentielle leur activité et il est fait état de centaines de milliers d'attaques contre les serveurs Exchange dans le monde entier. Le taux d'attaques augmente et cela signifie que toute personne ayant des serveurs Exchange vulnérables doit prendre des mesures immédiates pour protéger ces systèmes.

Bien que ces attaques aient été initialement attribuées à des attaquants parrainés par l'État, il est probable qu'une série de différents types d'attaquants - y compris des cybercriminels - se retrouvent maintenant dans cette situation. Ainsi, même si votre petite entreprise ne risque pas d'être victime d'attaques parrainées par l'État, il y a une réelle chance que les attaquants utilisent ces vulnérabilités pour des attaques plus traditionnelles, comme les demandes de rançon, qui peuvent avoir un impact paralysant sur votre organisation.

Étape 1 : Apportez votre correctif maintenant !

Les correctifs sont disponibles dès maintenant. Si vous utilisez Exchange, vous devez vous rendre sur le site web de Microsoft, lire les informations qui y sont disponibles, et déployer ces correctifs immédiatement.

Il est important de noter, cependant, que le déploiement des correctifs ne fera que protéger vos systèmes contre toute tentative future d'exploitation de ces vulnérabilités ; il n'aide pas à protéger contre toute tentative d'attaque de ces vulnérabilités qui aurait pu avoir lieu AVANT que vous n'appliquiez les correctifs. Et si votre système a été attaqué, les correctifs n'annuleront pas ce que les attaquants ont pu faire lors de leurs attaques. Les correctifs ne font que corriger les vulnérabilités, ils ne suppriment pas les outils des attaquants ou les autres choses que les attaquants ont pu faire à votre système lorsqu'ils l'ont compromis.

Cela signifie qu'après avoir appliqué les correctifs, vous aurez plus de travail à faire.

Étape 2 : Déterminer si vous avez été attaqué

Appliquer des patchs dans une situation comme celle-ci est en fait la partie facile. Les étapes suivantes sont plus difficiles et nécessitent plus d'expertise. Vous devriez envisager de faire appel à des experts, car il n'y a pas de réponses simples et les étapes suivantes peuvent être très délicates, même pour les experts.

Vous pouvez utiliser les informations fournies par Microsoft pour déterminer si votre système a été compromis par au moins CERTAINES des attaques connues contre ces vulnérabilités.

Après avoir appliqué les correctifs, vous devriez revoir les informations contenues dans cet article, en particulier la section « Puis-je déterminer si j'ai été compromis par cette activité ? ». Si vous trouvez des informations sur vos serveurs Exchange qui correspondent à ce qui figure dans l'avis de Microsoft, alors votre système a probablement été compromis par ces attaques et vous devrez prendre des mesures supplémentaires pour vous en remettre.

Cependant, si vous ne trouvez pas les informations de l'avis de Microsoft sur vos systèmes, vous ne pouvez pas supposer que vous n'avez pas été compromis. Vous pouvez seulement conclure que vous n'avez pas été compromis par ces attaques spécifiques connues. Il est possible que d'autres attaquants aient compromis votre système d'une manière que vous ne pouvez pas identifier. Dans ce cas, vous avez deux options à considérer :

• Traiter le système comme étant probablement compromis de toute façon et prendre des mesures préventives pour le rétablir, comme indiqué ci-dessous.
• Traiter le système comme étant éventuellement compromis et surveillez toute activité inhabituelle et vérifiez les nouveaux indicateurs de compromission (IoC), comme nous le voyons dans le rapport de Microsoft, au fur et à mesure qu'ils sont connus.

Malheureusement, c'est là que la réponse aux incidents est incertaine. Là encore, vous devriez envisager de faire appel à des experts. Pouvoir dire avec certitude qu'un système non patché n'a pas été compromis alors que tant d'attaques sont perpétrées par une variété croissante d'attaquants n'est possible qu'avec une analyse spécifique et experte de vos systèmes.

Chris Krebs, l'ancien directeur de la Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis, note dans ses conseils combien il est difficile de savoir avec certitude qu'un système ISN n'a pas été compromis dans ce Tweet :

Il recommande aux gens de supposer qu'ils sont compromis et de renforcer la surveillance ou, si vous ne pouvez pas le faire parce que vous n'avez pas l'expertise nécessaire, de prendre des mesures de redressement comme celles qui sont décrites dans l'option 1.

Étape 3 : Rétablissement

M. Krebs recommande deux étapes pour le redressement : « déconnecter et reconstruire ». Il s'agit des étapes standard recommandées dans toute situation de compromis.

Vous voulez déconnecter le système compromis (ou potentiellement compromis) immédiatement, car cela ferme la porte à l'accès de l'attaquant. N'oubliez pas que même si vous avez patché le système, les attaquants peuvent avoir d'autres moyens de contrôler le système compromis : le patcher seul ne changera rien à cela. La déconnexion coupe l'accès des attaquants à ce système et leur accès à votre réseau par l'intermédiaire de ce système.

Lorsqu'un système est compromis de cette manière, la reconstruction complète du système est la meilleure mesure à prendre pour éliminer les attaquants et leurs outils de votre système. Vous pouvez envisager de restaurer à partir de sauvegardes, mais vous devez vous assurer que vous restaurez à partir de sauvegardes qui sont pré-compromises. Malheureusement, si vous restaurez à partir d'une sauvegarde après que le système ait été compromis, vous restaurerez votre système ET les outils et l'accès des attaquants, ce qui va à l'encontre de l'objectif de la restauration. Aussi, lorsque vous reconstruisez ou restaurez, assurez-vous de corriger le système AVANT de le reconnecter et de le remettre en service. Dans ce genre de situation, il n'est pas rare qu'un système reconstruit ou restauré non patché soit à nouveau compromis avant d'être patché - et cela vous ramènera à la case départ dans votre processus de restauration.

Étape 4 : Surveillance des futures activités malveillantes

Une fois que vous avez remis en service un système réparé et restauré, vous n'avez pas fini. Bien que ces étapes concernent la compromission du système, il est également possible que des attaquants aient utilisé le système compromis pour prendre pied ailleurs dans votre réseau.

À ce stade, assurez-vous de mettre en place une surveillance qui puisse identifier un comportement inhabituel sur votre réseau, qui pourrait indiquer d'autres signes d'un compromis plus large. Parmi les éléments clés à observer et à rechercher, citons une activité inhabituelle avec des comptes de niveau administrateur et de service, un trafic réseau inhabituel vers des systèmes inconnus dans des lieux géographiques inattendus et une activité inhabituelle d'accès à distance. Il ne s'agit pas d'une liste exhaustive, mais de quelques éléments clés sur lesquels se concentrer. Malheureusement, nous avons vu que les attaquants ayant un pied dans un réseau peuvent être difficiles à détecter, même pour les experts. C'est là encore que l'aide d'un expert est vraiment nécessaire pour déterminer s'il y a d'autres compromis dans votre réseau.

En plus de la surveillance, assurez-vous que tous vos systèmes sont entièrement à jour pour tous les correctifs des systèmes d'exploitation et des applications. Vous devriez également envisager de procéder à des analyses de sécurité agressives sur tous les systèmes que vous pouvez ; cela peut vous aider à identifier d'autres logiciels malveillants ou outils que les attaquants ont pu placer sur vos systèmes et votre réseau.

Les attaques d'Exchange dans le monde entier constituent une situation très grave qui exige des personnes concernées qu'elles prennent des mesures immédiates dès maintenant. Malheureusement, comme Chris Krebs l'a noté, « cela va avoir un impact disproportionné sur ceux qui peuvent le moins se le permettre (PME, Edu, Etats, locaux) » et les informations actuellement disponibles ne montrent pas clairement à ces publics ce qu'ils doivent faire. Nous avons décrit dans ce blog les mesures que vous pouvez et devriez prendre immédiatement. Une action immédiate dès maintenant peut contribuer à empêcher que cette attaque ne se transforme en une attaque plus dommageable, en particulier en une attaque avec demande de rançon à l'avenir. Les étapes décrites dans ce billet sont des mesures de réponse aux incidents standard et conformes aux meilleures pratiques que suivent les équipes professionnelles. Cependant, comme nous l'avons noté, il peut s'agir d'une situation complexe et si vous êtes touché, vous devriez envisager d'obtenir une aide professionnelle, surtout si vous constatez des signes de compromission.

Avast est un leader mondial de la cybersécurité et de la protection de la vie privée avec des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre produits antivirus, anti-ransomware et de protection de la vie privée.