Vulnérabilités Exchange, un puits sans fond ?

En milieu de semaine dernière, Microsoft a dévoilé quatre vulnérabilités critiques affectant Exchange et permettant à un attaquant d’exécuter du code à distance sur les serveurs touchés, les CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, et CVE-2021-28483. L’agence américaine du renseignement, la NSA, a contribué à l’effort.

Dans un billet de blog, les équipes Microsoft Security Response Center ont appelé les clients de l’éditeur à mettre à jour leurs serveurs Exchange avec les toutes dernières versions disponibles, et d’activer l’application automatique des mises à jour pour disposer des correctifs dès qu’ils sont disponibles. Bonne nouvelle toutefois, à ce stade, ces nouvelles vulnérabilités, qui affectent Exchange 2013 à 2019 ne semblent pas exploitées. Mais il y a fort à parier que cela ne soit qu’une question de temps.

Les vulnérabilités dites Proxylogon, et en particulier la CVE-2021-26885, n’ont pas manqué d’attiser l’appétit des attaquants au mois de mars, soutenus par des États-nations ou pas. C’est dans ce contexte que le ministère texan de la Justice, outre-Atlantique, a décidé d’autoriser une vaste opération de remédiation : les autorités locales ont ainsi « copié et supprimé les web shells malicieux de centaines d’ordinateurs vulnérables aux États-Unis ». Ces interfaces Web, déposées par des attaquants pour intervenir à distance sur les systèmes qu’ils avaient compromis ont ainsi été détruites, après avoir été archivées. C’est le FBI qui est intervenu.

Mais les autorités ne sont pas allées jusqu’à prendre le contrôle des systèmes concernés pour y appliquer, de force, les correctifs mis à disposition par Microsoft : ce travail reste à la charge des propriétaires et exploitants des serveurs Exchange affectés. Et tant que ces actions n’ont pas été menées, les systèmes concernés restent vulnérables. En outre, l’intervention du FBI ne protège pas d’éventuelles compromissions poursuivies plus en profondeur par les attaquants.

Et justement, si la situation des vulnérabilités ProxyLogon pouvait paraître encourageante fin mars, elle l’est bien moins aujourd’hui. Il y a quelques semaines, le travail d’application des correctifs semblait bien engagé, avec un rythme relativement soutenu. Sur un échantillon d’une petite centaine d’adresses IP françaises affectées par la vulnérabilité CVE-2021-26855 au 11 mars, nous étions tombés, au 23 mars, à 33. Huit jours plus tard, au 31 mars, il nous en restait 26.

Au 19 avril, nous comptions encore 19 adresses IP vulnérables, soit 7 de moins en plus de deux semaines. Autrement dit, une frange d’un peu moins de 20 % de l’échantillon initial pourrait s’être constitué une dette technique qui risque de se retourner contre elle dans un avenir plus ou moins proche.