Attaques sérieuses détectées sur Microsoft Exchange ProxyLogon

Antti Laatikainen, Senior Security Consultant chez F-Secure, établit une comparaison saisissante : la vulnérabilité ProxyLogon équivaudrait, dans le monde réel, à la suppression de tous les contrôles d’accès, gardiens et serrures des portes de l’entreprise. Les entreprises peuvent toutefois empêcher des individus malveillants de tirer profit de cette faille des serveurs Microsoft Exchange en agissant dès maintenant.

« La période durant laquelle les entreprises disposent encore d’une marge de manœuvre pour minimiser les volumes de données volés va prendre fin », explique Antti Laatikainen. « Ces attaques ne relèvent pas de la magie noire : les entreprises disposant de capacités de monitoring de la sécurité – comme la détection et réponse au niveau des endpoints (EDR) ou la détection et réponse rapides (RDS) -, d’outils de monitoring réseau et d’une politique de routage efficace sont en mesure de se défendre. Il existe également une multitude de mesures manuelles à prendre pour éviter un désastre total. J’encourage donc les entreprises à agir sans attendre. »

Prevalence of TR/Downloader.Gen from 01.03.2021 to 19.03.2021.

La semaine dernière, TR/Downloader.Gen, détection générique webshell développée par F-Secure pour protéger ses clients, a enregistré une forte hausse après la publication, le 11 mars, du fichier Proof-of-Concept de la vulnérabilité ProxyLogon. Après un pic atteint mercredi dernier, TR/Downloader.Gen continue de détecter un nombre important d’activités, de l’ordre de plusieurs dizaines de milliers. Les pays enregistrant le plus de détections sont, par ordre décroissant, l’Italie, l’Allemagne, la France, le Royaume-Uni, les États-Unis, la Belgique, le Koweït, la Suède, les Pays-Bas et Taïwan.

Il est urgent d’agir

Un hacker pourrait rapidement s’approprier un serveur piraté, télécharger des fichiers et des programmes, et utiliser un serveur comme tremplin vers d’autres parties du réseau. ProxyLogon permet d’accéder aux couches inférieures du serveur… et par ce biais au reste du réseau de l’organisation. Cette vulnérabilité rend donc possible un large éventail d’intrusions silencieuses. Par exemple, dans l’affaire Vastaamo, les dossiers de 40 000 patients en psychothérapie ont été subtilisés avant que quiconque ne se rende compte que le serveur de la base de données avait été piraté.

Les experts en cybersécurité craignent que des dizaines, voire des centaines de violations de données de type Vastaamo se produisent en ce moment même sur les réseaux professionnels. Ces violations pourraient se produire en arrière-plan, de manière totalement inaperçue. Ce n’est que dans plusieurs mois ou années que l’on devrait prendre connaissance de l’ampleur des dégâts. Si des hackers chevronnés sont à l’œuvre, des données ont très probablement déjà été volées ou sont en train de l’être en ce moment même.

Pour ne rien arranger, des scripts d’attaque automatisés de type « proof-of-concept » sont mis en ligne : ces derniers permettent à des hackers débutants de prendre rapidement le contrôle à distance d’un serveur Microsoft Exchange vulnérable. Il existe même un kit permettant d’exploiter la chaîne de vulnérabilité publiée dans l’application Metasploit, qui est couramment utilisée pour les tests de piratage et de sécurité. Ces attaques clé-en-main sont à la portée de tous et sont utilisées par des gangs criminels, par des hackers associés à des États et par des « script kiddies » opportunistes.

Toujours partir du principe qu’une intrusion a déjà eu lieu

 « Des dizaines de milliers de serveurs ont été piratés dans le monde », ajoute Laatikainen. « Ils sont piratés plus vite que nous ne pouvons les compter. À l’échelle mondiale, c’est une catastrophe qui se prépare. »

Selon les analyses de F-Secure, seule la moitié environ des serveurs Exchange visibles sur internet ont appliqué les patchs Microsoft permettant de corriger ces vulnérabilités. Et malheureusement, l’installation des correctifs ne garantit pas à elle seule la sécurité du serveur, car un hacker peut avoir procédé au piratage avant l’installation de la mise à jour.

« Jamais, depuis 20 ans que je travaille dans le secteur, il n’a été aussi justifié de partir du principe que chaque entreprise disposant d’Exchange Outlook Web Access a déjà été piratée. Le piratage est extrêmement facile : on peut donc supposer que la majorité de ces environnements ont été ciblés », explique-t-il. Le Centre national finlandais de la cyber sécurité partage cette position et conseille publiquement aux entreprises de « partir du principe qu’elles ont été la cible d’une intrusion ».

Les dommages peuvent encore être limités

Dans la mesure où les intrusions de ce type sont réalisées par étapes, la présence d’intrus peut souvent être détectée. Il est encore possible de limiter les dégâts, voire dans certains cas, de les éviter complètement.

D’après les prévisions d’Antti Laatikainen, les entreprises devraient bientôt commencer à signaler des intrusions.

« Le RGPD, Règlement Général sur la Protection des Données, exige que le vol de données personnelles soit signalé aux autorités de protection des données dans les 72 heures. Il est probable que, dans les prochaines semaines, le nombre de rapports d’intrusions adressés au RGPD soit historique. Si vous prenez les bonnes mesures dès aujourd’hui, vous pouvez éviter que votre entreprise figure demain sur la longue liste de ces entreprises victimes de vols de données. »