www.belgium.be Logo of the federal government

La semaine dernière, nous avons mis en garde les entreprises belges utilisant des serveurs Microsoft Exchange contre une vulnérabilité. Depuis ce week-end, nous savons qu'en Belgique, plus de 1000 serveurs Microsoft Exchange sont vulnérables et nous recevons de plus en plus d’appels d’incidents dans des organisations et des entreprises utilisant des serveurs Microsoft Exchange.  Il est clair que cette vulnérabilité est activement exploitée de différentes manières et peut-être par plusieurs organisations criminelles.  Nous pourrions être confrontés à un tsunami de cyber-attaques contre des organisations vulnérables dans les semaines à venir.

Le 3 mars, nous avons publié un avis indiquant les mesures à prendre. Le 8 mars, cet avis a été mis à jour.

Il est important de faire la distinction entre configuration locale, hybride et en ligne de Microsoft Exchange.

  • Un logiciel en configuration locale signifie qu’il est installé dans l’entreprise elle-même, sur ses propres ordinateurs et serveurs.
  • Hybride signifie que le logiciel est installé dans l’entreprise ainsi qu'en ligne (dans le cloud).
  • Un logiciel en configuration en ligne signifie qu’il est installé exclusivement en ligne (dans le cloud).

Microsoft tient à souligner encore une fois que le service Exchange Online n'a pas été affecté. Les clients Exchange Online qui ont une configuration hybride ou qui utilisent un serveur Exchange local pour les applications administratives doivent prendre des mesures immédiates.

 

Que se passe-t-il exactement ?

  1. Tout a commencé par une attaque d'État-nation, appelée Hafnium. Des vulnérabilités ont été découvertes dans Exchange, et exploitées de façon malintentionnée. Les pirates ont pu accéder à l’environnement Exchange de certaines entreprises, puis à leurs comptes administrateurs, et ainsi ensuite s'infiltrer encore davantage.

    Pour corriger les vulnérabilités, Microsoft a publié un certain nombre de mises à jour le 2 mars 2021 (lien en bas de page). Microsoft a également publié une mise à jour pour Exchange 2010, une version qui n'est plus prise en charge.
     

  2. Certains groupes malveillants installent des « web shells » dans les entreprises, leur permettant l’accès et le contrôle à distance via un serveur en ligne. De cette manière ils peuvent, pour ainsi dire, garder une ligne de communication ouverte avec leurs cibles et lancer des attaques ultérieures. Il est donc très important de détecter de telles choses le plus tôt possible. Pour les entreprises qui ne disposent pas de la solution Microsoft Defender, Microsoft a lancé un outil distinct capable de détecter et de supprimer efficacement les web shells (plus d'informations via le lien ci-dessous).
     
  3. Dans certains cas, il se peut que les pirates aient également laissé derrière eux d'autres logiciels malveillants en plus des « web shells », afin de pouvoir lancer un autre type d’attaque plus tard, par exemple un ransomware. C'est pourquoi il est important que l'environnement soit examiné de fond en comble, pour toutes les situations suspectes possibles.

 

Que faire en priorité ?

  1. « Patcher » les systèmes, c'est-à-dire installer un petit logiciel pour corriger les erreurs et / ou effectuer des mises à jour ;
     
  2. Supprimer tous les « web shells » ;
     
  3. Vérifiez ce qui est arrivé au shell web. Il ne suffit pas d'appliquer un correctif et de supprimer le shell web. Pour ce faire, utilisez :
    1. Script Test-ProxyLogon.ps1 de MicrosoftTest-ProxyLogon.ps1 (https://github.com/microsoft/CSS-Exchange/tree/main/Security ) pour plus de détails (heure, chemin, IP, ...)
    2. Journaux (logs) de serveurs Web, journaux de proxy, journaux(logs) de pare-feu ou d'IDS, journaux(logs) d'anti-virus, ...
    3. L'outil en un clic de Microsoft Exchange sur site https://msrc-blog.microsoft.com/2021/03/15/one-click-microsoft-exchange-...
       
  4. Enquêter sur les connexions d'utilisateurs suspectes dans les comptes existants, les nouveaux comptes avec de nombreux droits et donc potentiellement suspects, le trafic sortant suspect via http (s), les tâches automatiques sur les terminaux, règles nouvelles et suspectes de transfert de courrier (transferts SMTP), etc. Ce sont des activités typiques des pirates pour se rapprocher des actifs stratégiques des entreprises.

 

Sources d’information importantes :

L'avis du CERT.be, le service operationnel du Centre pour la Cybersécurité Belgique (CCB):

https://cert.be/fr/microsoft-exchange-victime-de-nombreuses-vulnerabilites-critiques

Vue d’ensemble et étapes à suivre de Microsoft:

Multiple Security Updates Released for Exchange Server – updated March 12, 2021 – Microsoft Security Response Center