Pour gérer vos consentements :
Categories: Sécurité

Exchange Server pris d’assaut : un SolarWinds bis ?

Quatre failles… pour des centaines de milliers de victimes. C’est sur ces chiffres que s’arrête le bilan provisoire d’une attaque révélée la semaine dernière. Sa cible : des serveurs Exchange locaux.

Il semble plutôt falloir parler de plusieurs attaques. Même si Microsoft s’attarde sur Hafnium, groupe cybercriminel dit à la solde de l’État chinois.

Les quatre failles fonctionnent en combinaison. L’une permet de contourner l’authentification en envoyant, via Outlook Web Access, des requêtes HTTP arbitraires vers des ressources statiques. Le chercheur qui l’a découverte lui a donné le nom de ProxyLogon.

ProxyLogon permet d’accéder à des boîtes mail, parfois en connaissant simplement l’adresse des victimes. Elle ouvre la voie à l’exploitation des trois autres failles qui permettent d’exécuter du code à distance. Dans la pratique, elles ont entraîné l’injection de webshells.

Un SolarWinds version Exchange ?

Les correctifs – pour Exchange Server 2013, 2016 et 2019 – sont disponibles depuis mardi dernier. Depuis lors, les attaques semblent s’être intensifiées. Et avoir franchi un degré d’automatisation. On ne semble effectivement pas au même niveau de ciblage que dans l’affaire SolarWinds. Le nombre de victimes (30 000 estimées aux États-Unis) en témoigne. Sur place, la CISA, homologue de notre ANSSI, a publié une alerte et des directives. La Maison Blanche les a relayées.

Pour ceux qui ne peuvent appliquer immédiatement les correctifs, il existe des méthodes d’atténuation. Elles consistent, en fonction des failles, à mettre en place une règle IIS, à couper le service de messagerie unifiée ou encore à désactiver le pool d’applications OAB.

La première alerte est venue de Volexity. Les premières attaques que l’éditeur américain dit avoir identifiées remontent au 6 janvier. La veille, le chercheur ayant découvert ProxyLogon avait communiqué ses trouvailles à Microsoft.

Illustration principale © Rawpixel.com – stock.adobe.com

Recent Posts

Lenovo : quand le DSI et le CTO s’alignent

L'alignement de responsabilités techniques fait partie des leviers activés par Lenovo pour affronter les soubresauts…

9 heures ago

SD-WAN : 10 marqueurs de reconfiguration du marché

NaaS, SD-Branch, performance applicative, « internet amélioré »... Lumière sur quelques tendances actuelles et futures…

11 heures ago

SD-WAN : qui sont ces fournisseurs qui « creusent l’écart » ?

Sur les quelque 70 fournisseurs SD-WAN qu'il a dans ses radars, Gartner en distingue une…

13 heures ago

Cloud collaboratif : UCaaS, CCaaS et CPaaS d’abord

Les entreprises investissent toujours plus la collaboration en mode cloud. Microsoft et Cisco dominent. Zoom…

14 heures ago

Samira Bekhtaoui, nouvelle Directrice de la division ASUS Business

Samira Bekhtaoui devient Directrice de la division ASUS Business qui regroupe l’ensemble des offres dédiées…

14 heures ago

Microservices : Betclic parie sur une architecture orientée événements

Leader des paris en ligne, Betclic a transformé son infrastructure pour passer d’une architecture fortement…

16 heures ago