Les rapports se succèdent (Anssi, Clusif ou CISA) et montrent que les cybercriminels ont une appétence particulière pour les serveurs Exchange. En quelques mois, Microsoft a joué au pompier en corrigeant plusieurs failles critiques touchant ces systèmes de messagerie au sein des Patch Tuesday. Et les acteurs de la menace s’en servent rapidement comme le montre le piratage de Rackspace par le ransomware Play. Des raisons supplémentaires pour Microsoft de monter au créneau pour alerter les entreprises des risques et du danger.
La firme de Redmond exhorte les sociétés et organisations d’installer les dernières mises à jour cumulative et les correctifs de sécurité. Elles doivent par ailleurs activer manuellement certaines tâches comme la protection étendue et la signature de certificats pour les charges utiles de sérialisation PowerShell. Pour les aider, l’éditeur recommande d'exécuter l'outil Health Checker après avoir installé une mise à jour pour voir quelles tâches manuelles doivent être effectuées.
Une passerelle vers l'AD et le cloud
« Les attaquants qui cherchent à exploiter des serveurs Exchange non corrigés ne vont pas disparaître », écrit l’équipe en charge d’Exchange dans un blog. Ils ajoutent que « ces systèmes vulnérables sont précieux pour les pirates à la recherche d’exfiltration de données ou d’autres actes délictueux ». Autre point souligné par les experts de Microsoft : « Exchange possède des liens profonds et des autorisations dans Active Directory et dans des environnements hybrides, il a un accès aux écosystèmes cloud ».
Les cybercriminels scannent en permanence les ports ouverts via des outils comme Shodan, pour détecter les serveurs vulnérables. Il recherche des systèmes qui n’ont pas appliqués les Patch Tuesday comme celui de novembre 2022 colmatant deux failles critiques, ProxyNotShell, largement exploitées. L'une est un bug d'exécution de code à distance (RCE), l'autre une faille de falsification de requête côté serveur. On peut évoquer aussi, un bulletin de mars 2021 corrigeant en urgence la vulnérabilité ProxyLogon, utilisée par le groupe Hafnium et une douzaine de gangs. Plus récemment, des chercheurs de l’éditeur Prodaft ont découvert l'année dernière, lors d'une enquête sur FIN7, que le groupe d’origine russe exploitait des vulnérabilités dans Exchange. Il se servait d’un système d'attaque automatisé conçu pour voler des données et déterminer si l’entreprise était une bonne cible pour une attaque par ransomware, sur la base de ses informations financières.