Pour gérer vos consentements :
Categories: LogicielsSécurité

Microsoft Exchange : la France serait plutôt épargnée selon l’Anssi

Combien de victimes de la faille Microsoft Exchange en France ?  L’ANSSI estime à environ 15 000, le nombre de serveurs qui seraient exposés, selon les propos de son directeur général Guillaume Poupard interrogé par les Echos.

Cependant, il est difficile d’en déduire le nombre d’entreprises impactées car l’usage d’un serveur Exchange peut concerner plusieurs entités. « Nous avons pour l’instant très peu de victimes avérées » assure-t-il au quotidien économique.

15 000 serveurs Exchange compromis en France

Le 2 mars, Microsoft avait publié des correctifs – pour Exchange Server 2013, 2016 et 2019 – pour combler quatre failles qui ont permis le vol d’e-mails et l’implantation de webshells sur des serveurs Exchange locaux.

Les quatre failles fonctionnent en combinaison. L’une permet de contourner l’authentification en envoyant, via Outlook Web Access, des requêtes HTTP arbitraires vers des ressources statiques. Le chercheur qui l’a découverte lui a donné le nom de ProxyLogon.

ProxyLogon permet d’accéder à des boîtes mail, parfois en connaissant simplement l’adresse des victimes. Elle ouvre la voie à l’exploitation des trois autres failles qui permettent d’exécuter du code à distance. Dans la pratique, elles ont entraîné l’injection de webshells.

Le ransomware DearCry à l’attaque

Le nombre de victimes  est estimé à 30 000 aux États-Unis. Sur place, la CISA, homologue de notre ANSSI, a publié une alerte et des directives. La Maison Blanche les a relayées.

En début de semaine, le National Cyber ​​Security Center britannique alertait sur le fait que 3000 serveurs seraient encore exposés faute d’avoir été patchés.

Selon l’éditeur ESET, une dizaine de groupes cybercriminels ont exploité certaines failles qui touchent les serveurs Exchange  mais Microsoft s’attarde sur Hafnium, groupe cybercriminel dit à la solde de l’État chinois.

Les serveurs compromis sont exposés au ransomware  DearCry. Le 9 mars, des échantillons avaient commencé à remonter vers les principales plates-formes d’analyse des menaces. À un volume relativement faible, mais en provenance d’au moins trois continents.

Depuis lors, Microsoft a confirmé avoir détecté – et bloqué – DearCry. Pour lui, il ne s’agit pas simplement d’un ransomware, mais de toute une famille. Trois souches (1, 2, 3) semblent en l’occurrence se détacher.

Recent Posts

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

20 minutes ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

17 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

19 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

21 heures ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago

Atos donne rendez-vous fin juillet pour envisager son avenir

Après deux reports successifs, Atos a présenté ses résultats annuels 2023. Et comme prévu, ils…

2 jours ago