Basé sur le blog post initialement publié en anglais le 12 mars 2021.
Au cours des dernières semaines, Microsoft et d’autres acteurs de l’industrie du numérique ont signalé une augmentation des attaques contre les serveurs Exchange sur site (on-premises). La cible de ces attaques est un serveur de messagerie souvent utilisé par les petites et moyennes entreprises, bien que certaines organisations, plus grandes, possédant des serveurs Exchange aient également été affectées. Il est important de préciser ici qu’Exchange Online n’est pas vulnérable à ces attaques.
Dès le 2 mars 2021, nous avons averti que les hackers du groupe baptisé « Hafnium » exploitaient des failles de sécurité dans nos services de messagerie Exchange pour voler les données de certains utilisateurs. Notre Vice-Président Tom Burt avait fait la déclaration suivante : « Nous savons que de nombreux acteurs étatiques et des groupes criminels agiront rapidement pour tirer profit de tout système non corrigé. […] Appliquer rapidement les correctifs est la meilleure protection contre ces attaques. Celles-ci ne sont en aucun cas liées aux attaques distinctes en rapport avec SolarWinds. »
Alors que cette série de cyberattaques a débuté comme une attaque d’Etats-nations, les vulnérabilités sont désormais exploitées par d’autres organisations criminelles. Cela comprend notamment de nouvelles attaques de rançongiciel, et de possibles autres activités malveillantes.
Nous considérons désormais ces événements comme une attaque plus vaste et la gravité de ces codes d’exploitation rend critique la protection de vos systèmes. Bien que Microsoft dispose de moyens habituels pour fournir des outils pour mettre à jour les logiciels, cette situation extraordinaire exige une approche plus soutenue. En plus de nos mises à jour logicielles régulières, nous fournissons également des mises à jour spécifiques pour les logiciels plus anciens, et hors support, pour rendre rapide, simple et efficace la protection des organisations.
La première étape consiste à s’assurer que toutes les mises à jour de sécurité pertinentes sont appliquées à chaque système. Il est important de trouver la version d’Exchange Server que vous exécutez et d’appliquer la mise à jour. Cette action fournira une protection contre les attaques connues et donnera à votre organisation le temps de mettre à jour les serveurs vers une version possédant les mises-à-jours complètes de sécurité. Dès le 2 mars 2021, nous avons publié des mises à jour de sécurité qui protègent les clients utilisant Exchange Server. Nous encourageons vivement tous les clients Exchange Server à appliquer ces mises à jour immédiatement. Exchange Server est principalement utilisé par les clients professionnels et nous n’avons aucune preuve que les activités d’Hafnium ciblent des utilisateurs individuels ou que ces actions aient un impact sur d’autres produits Microsoft. Les vulnérabilités affectent les versions Exchange Server 2013, 2016 et 2019, tandis qu’Exchange Server 2010 est également mise à jour à des fins de défense en profondeur. Là encore, il est important de préciser ici qu’Exchange Online n’est pas vulnérable à ces attaques.
L’étape critique suivante consiste à déterminer si des systèmes ont été compromis et, le cas échéant, à les supprimer du réseau. Nous avons fourni une série de recommandations pour aider nos clients, y compris des scripts vous permettant d’identifier les signes de compromissions, une nouvelle version de l’outil « Microsoft Safety Scanner » pour identifier les logiciels malveillants présumés et un nouvel ensemble d’indicateurs de compromission mis à jour en temps réel et partagé largement. Ces outils sont disponibles dès maintenant et nous encourageons l’ensemble de nos clients à les déployer.
Nos équipes ont travaillé 24 heures sur 24 aux côtés des sociétés d’hébergement et de notre communauté de partenaires pour sensibiliser les clients potentiellement touchés. Avec le soutien de notre écosystème, nous travaillons à sensibiliser plus de 400 000 clients à ces mises à jour et outils essentiels.
Pour illustrer l’ampleur de cette attaque et montrer les progrès réalisés dans la mise à jour des systèmes, nous avons travaillé avec RiskIQ. Sur la base de la télémétrie de RiskIQ, nous avons observé un ensemble de près de 400 000 serveurs Exchange vulnérables au 1er mars. Le 9 mars, il y avait un peu plus de 100 000 serveurs toujours vulnérables. Ce nombre n’a cessé de diminuer, avec seulement près de 82 000 d’entre eux à devoir encore être mis à jour. Nous avons publié un ensemble supplémentaire de mises à jour le 11 mars ainsi que d’autres mises à jour couvrant plus de 95% des versions exposées sur Internet.
Il est important de préciser que les groupes qui tentent de tirer parti de cette vulnérabilité essayent d’implanter un logiciel de rançon et d’autres logiciels malveillants qui pourraient interrompre la continuité des organisations touchées. Pour être protégés contre ce phénomène, nous encourageons tous les clients à revoir les conseils de l’agence américaine CISA contre ce type d’attaques ainsi que ceux de Microsoft sur la façon de se préparer et de se protéger contre ce genre de code d’exploitation.
C’est la deuxième fois au cours des quatre derniers mois que des acteurs d’États-nations se livrent à des cyberattaques ayant un potentiel suffisant pour toucher des entreprises et des organisations de toutes tailles. Nous continuons de surveiller de près ces attaques sophistiquées et d’appliquer toute l’étendue de notre technologie, de notre expertise humaine et de nos renseignements sur les menaces afin de mieux prévenir, détecter et réagir.
Microsoft est engagé depuis longtemps dans le soutien de ses clients contre ces attaques, dans l’adoption d’une approche innovante de la sécurité et dans une étroite collaboration avec les gouvernements et l’ensemble de l’écosystème numérique pour contribuer à garantir la sécurité de ses clients et de ses communautés.
