Failles Exchange : plus de 30 000 entreprises touchées !
Microsoft a déployé en urgence un correctif pour son serveur de messagerie Exchange dans le but de corriger 4 failles Zero-Day Exchange. Les attaquants seraient passés à la vitesse supérieure puisqu'il y aurait eu plus de 30 000 entreprises touchées à l'heure actuelle !
Je vous ai déjà parlé de ces vulnérabilités la semaine dernière, mais compte tenu je souhaitais insister sur le sujet et surtout sur le fait que les failles sont activement exploitées. Pour rappel, il s'agit des failles référencées avec les noms suivants : CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065. La société Devcore a baptisé cet ensemble de failles Proxylogon.
D'après les journaux américains, et notamment le journaliste spécialiste en cybersécurité Brian Kebs, il y aurait au moins 30 000 organisations touchées. De son côté, Reuters parle d'au moins 20 000 organisations touchées. Malgré tout, ces estimations pourraient être très loin de la réalité, car certains experts en cybersécurité parlent de centaines de milliers de victimes.
Les victimes ne seraient pas seulement des entreprises américaines. Il y aurait quelques victimes en Europe et en Asie, d'ailleurs l'Autorité bancaire européenne est dans la liste des victimes. Depuis que Microsoft a diffusé le correctif, tout le monde est au courant de l'existence de ces failles. Résultat, depuis cette annonce, les attaques se sont intensifiées : c'est une course contre la montre entre les pirates et les entreprises. Tout le temps qu'une entreprise n'a pas patchée son serveur Exchange elle est, potentiellement, vulnérable.
Lorsqu'un pirate exploite les failles sur un serveur Exchange d'une organisation, il peut en profiter pour déployer un Web Shell. De cette façon, même si l'entreprise corrige les failles sur son serveur, l'attaquant conserver un accès au réseau de l'entreprise : de quoi préparer une future attaque.
Sur GitHub, Microsoft a publié le script Test-ProxyLogon.ps1 pour vérifier si votre serveur Exchange a été touché par une attaque qui exploite ces failles. En complément de l'installation de la mise à jour, il convient d'exécuter ce script pour vérifier l'état de son serveur de messagerie. Sur GitHub, on retrouve aussi le script "ExchangeMitigations.ps1" qui sert à se protéger temporairement contre les failles en attendant d'installer le correctif.
