Exchange : les attaques se multiplient, mais de nombreux serveurs restent vulnérables

Selon le spécialiste du renseignement sur les menaces RiskIQ, plus de 69 000 serveurs Microsoft Exchange étaient encore affectés par les vulnérabilités dites ProxyLogon, à travers le monde, au 14 mars. Pour mémoire Microsoft a publié, tout début mars, en urgence et hors cycle habituel, des correctifs pour ces vulnérabilités qui, exploitées de manière combinée, permettent de compromettre en profondeur les serveurs de messagerie affectés.

Dans le détail, RiskIQ a identifié près de 17 000 serveurs Exchange encore vulnérables aux États-Unis, près de 8 000 outre-Rhin, plus de 3 800 en Italie, et presque autant dans l’Hexagone. Mais voilà, les attaquants ne perdent pas de temps.

La semaine dernière, Eset indiquait qu’au moins dix groupes d’assaillants soutenus par des États-nations avaient commencé à exploiter les vulnérabilités ProxyLogon. Les chercheurs de l’éditeur précisaient en outre avoir identifié plus de 5 000 serveurs compromis dans 115 pays.

Les chercheurs de Check Point expliquent aujourd’hui avoir « observé des milliers de tentatives d’exploitation contre des organisations dans le monde entier ». Selon eux, le nombre de tentatives quotidiennes a été multiplié par 10 entre le 11 et le 15 mars, passant de 700 à 7 200. Les États-Unis sont particulièrement visés, devant l’Allemagne, le Royaume-Uni et les Pays-Bas.

Outre-Rhin, justement, l’homologue de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), vient d’indiquer qu’au moins 600 serveurs Exchange avaient déjà été détournés pour miner des cryptopépettes. Et environ 12 000 serveurs Exchange sont encore affectés par ProxyLogon, sur un total accessible en ligne de 56 000. En Belgique, les autorités comptent un millier de serveurs vulnérables, dont rien moins que 400 déjà compromis.

En France, l’Anssi ne communique pas de chiffres sur la situation. Mais un échantillon limité en fournit un aperçu : sur 107 adresses IP en France exposant un serveur Exchange vulnérable le 11 mars, le lendemain il en restait 97, puis 68 le 15 mars, 62 hier, et 58 aujourd’hui. En somme, le rythme d’application des correctifs apparaît peu soutenu. Et la tendance ne semble pas à l’amélioration.

Pour aider les organisations à accélérer le pas, Microsoft distribue depuis peu un outil de remédiation en un clic : celui-ci permet de protéger les serveurs Exchange contre l’exploitation de l’une des vulnérabilités Proxylogon, la CVE-2021-26855 utilisée en début de chaîne d’attaque. L’outil assure également une recherche de maliciel pour vérifier que le serveur n’a pas été compromis, et supprime les éventuelles modifications apportées par un assaillant. Avec cet outil, Microsoft explique vouloir aider les organisations aux ressources compétentes limitées à gagner du temps, avant d’appliquer les correctifs et mettre à jour leurs serveurs Exchange, sans pour autant laisser les portes grandes ouvertes aux attaquants.

Cette démarche pourrait s’avérer précieuse pour de nombreuses organisations. Mais elle ne leur permettra pas d’échapper à des enquêtes et nettoyages approfondis en cas de découverte de traces d’assaillant. Et encore faut-il que l’information atteigne des organisations qui n’ont pas forcément l’œil rivé sur l’actualité IT, ou l’accompagnement de partenaires vigilants.