Failles Exchange : d’après Microsoft, 92% des serveurs sont protégés
En début de semaine, Microsoft a affirmé que 92% des serveurs Exchange on-premise et connecté à Internet, concernés par les vulnérabilités ProxyLogon, étaient désormais patchés et protégés.
Lorsque Microsoft a publié son correctif de sécurité le 2 mars 2021, il y avait 400 000 serveurs Exchange vulnérables aux failles ProxyLogon. Une semaine plus tard, le 9 mars 2021, il y avait encore environ 100 000 serveurs à patcher. Quelques jours plus tard, le 14 mars pour être précis, ce chiffre est tombé à 82 000 serveurs vulnérables. Désormais, d'après un graphique publié par RiskIQ, il en resterait moins de 30 000 : un chiffre encore important mais en constante diminution.
Our work continues, but we are seeing strong momentum for on-premises Exchange Server updates:
• 92% of worldwide Exchange IPs are now patched or mitigated.
• 43% improvement worldwide in the last week. pic.twitter.com/YhgpnMdlOX— Security Response (@msftsecresponse) March 22, 2021
Pour rappel, ces quatre failles Zero-Day sont référencées avec les noms suivants :
- CVE-2021-26855
- CVE-2021-26857
- CVE-2021-26858
- CVE-2021-27065
Pour les retardataires, vous pouvez récupérer le correctif à installer sur votre serveur Exchange sur le site de Microsoft : Correctif Exchange - Mars 2021
En complément, il faut savoir que Microsoft a mit à jour Microsoft Defender pour qu'il soit capable d'apporter un premier niveau de protection contre les failles ProxyLogon sur les serveurs Exchanges non patchés. Microsoft a également publié un outil à activer sur son serveur Exchange pour se protéger en attendant d'installer le correctif de sécurité.
Dans le même temps, nous apprenons qu'un autre ransomware exploite actuellement les failles ProxyLogon comme vecteur. Son petit nom : Black Kingdom. Une fois le serveur Exchange compromis, ce dernier est utilisé pour infecter les machines du réseau. Un script PowerShell permet de récupérer l'exécutable du ransomware sur le site "yuuuuu44[.]com". Les premières victimes de ce ransomware seraient basée dans les pays suivants : Etats-Unis, Canada, France, Russie, Suisse, Israël, Italie, Allemagne, Grèce, Australie, Autriche, Croatie, et Royaume-Uni.
Le piratage de la société Acer par le ransomware REvil pourrait également être lié à l'exploitation des failles ProxyLogon, tandis que le ransomware DearCry exploite ces failles depuis une dizaine de jours.
