Selon Eset, au moins dix groupes d’assaillants soutenus par des États-nations ont commencé à s’inviter sur les serveurs Exchange encore affectés par les vulnérabilités ProxyLogon. S’ils sont parmi les premiers, ils ne seront pas les derniers.
Microsoft a publié, tout début mars, en urgence et hors cycle habituel, des correctifs pour quatre vulnérabilités affectant les serveurs Exchange 2013, 2016 et 2019. Exploitées de manière combinée, dans le cadre d’une attaque désormais appelée proxylogon, elles permettent de compromettre en profondeur les serveurs de messagerie affectés. Les cibles potentielles se compteraient par dizaines de milliers à travers le monde.
Les chercheurs d’Eset ont suivi, depuis quelques jours, les détections de webshells déployés par des attaquants exploitant ces vulnérabilités. Au 11 mars, ils indiquaient avoir identifié plus de 5 000 serveurs compromis dans 115 pays. Mais bien sûr, « ces chiffres utilisent la télémétrie d’Eset et sont (de toute évidence) incomplets ». L’Allemagne semble particulièrement touchée, mais la France n’est pas épargnée.
Les observations des chercheurs les ont amenés à « identifier plus de 10 acteurs différents » exploitant activement les vulnérabilités Proxylogon. Une surprise ? Pas vraiment.
« Les attaquants utilisant les vulnérabilités Exchange cherchent à nettoyer certains shell et à en cacher d’autres. »
Johen FerrellCo-fondateur, Huntress Labs
John Ferrell, co-fondateur d’Huntress Labs, expliquait récemment que « les attaquants utilisant les vulnérabilités Exchange cherchent à nettoyer certains shell et à en cacher d’autres ». Car, comme pour d’autres vulnérabilités permettant de s’installer dans un système d’information, de premiers attaquants peuvent être pris de vitesse par des seconds prenant soin de couper l’herbe sous le pied de leurs prédécesseurs, afin de s’assurer une forme d’accès exclusif à l’infrastructure de leur victime qui s’ignore.
Mais la menace ne s’arrête pas à des opérations plus ou moins furtives. Le chasseur de maliciels Michael Gillespie, alertait ainsi hier soir sur un premier rançongiciel déployé… sur des serveurs Exchanges vulnérables. Baptisé Dearcry, il n’apparaît pas très sophistiqué, selon les analyses du chercheur Sébastien Larinier. En particulier, il apparaît fonctionner lentement, en générant d’importants volumes d’entrées/sorties susceptibles de le faire repérer aisément par un EDR. Il faudrait en outre compter avec la menace de déploiement d’outils de minage de cryptopépettes, selon Red Canary.
Les serveurs Exchanges encore vulnérables ne manquent pas, à travers le monde, mais aussi en France. Ils sont même très nombreux. Dans ce contexte, l’application des correctifs disponibles s’avère plus qu’urgente. Une étape indispensable, mais suffisante : d’autres opérations sont nécessaires pour s’assurer de ne pas laisser d’éventuels attaquants dans son système d’information.
Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)
