Les entreprises peuvent souffler. Après l'annonce en début de mois du risque très important d'exploits sur plus de 400 000 serveurs de messagerie Exchange, la situation commence à s'arranger. D'après les derniers chiffres de l'éditeur en sécurité RiskIQ, il subsisterait à ce jour un peu moins de 30 000 serveurs Exchange exposés aux failles Proxylogon. Pour résumer à ce jour, 92% des serveurs initialement exposés sont désormais en sécurité. « Notre travail se poursuit, mais nous constatons une forte dynamique pour les mises à jour locales d'Exchange Server : 92% des adresses IP Exchange dans le monde sont désormais corrigées ou atténuées », a tweeté l'équipe de sécurité de Microsoft. Cela constitue en une semaine à une amélioration de 43% au niveau mondial d'une semaine sur l'autre.
Depuis trois semaines, le nombre de serveurs Exchange exposés est en baisse constante, passant de 400 000 le 1er mars, à 100 000 le 9 mars, puis sous la barre des 70 000 le 14 mars et des 54 000 le 18 mars, avant une chute significative. En plus d'une méthode de pas à pas pour engager les entreprises à adapter les meilleures pratiques de sécurité, Microsoft a également publié récemment un outil de remédiation en 1 clic.
Une dizaine de groupes de cybercriminels à la manoeuvre
Il y a une dizaine de jours, l'éditeur de sécurité Eset a par ailleurs découvert que plus de dix groupes de cybercriminels différents sont parvenus à exploiter ces récentes vulnérabilités de Microsoft Exchange. « Les chercheurs d’Eset ont remarqué que certains groupes de pirates exploitaient déjà les vulnérabilités avant même la publication des correctifs. Cela signifie que nous pouvons écarter la possibilité que ces groupes aient créé une vulnérabilité par rétro-ingénierie à partir des mises à jour de Microsoft », avait expliqué Matthieu Faou, directeur des études d'Eset.
Contrairement à la France, les Etats-Unis ont particulièrement été touchés par la faille Proxylogon. Mais le CISA (équivalent de l'ANSSI outre-Atlantique) a tenu à rassurer en indiquant qu'il n'existait pas de preuve de compromission de serveurs Exchange affectant des agences gouvernementales américaines. Cela n'a pas empêché l'agence de leur ordonner d'appliquer en urgence tous les correctifs. Mieux vaut prévenir que guérir. De son côté, l'Anssi par la voix de son patron Guillaume Poupard indiquait aux Echos la semaine dernière que 15 000 serveurs en France étaient exposés aux failles Proxylogon.