Les serveurs de messagerie Exchange ont été victimes d’une attaque dont les auteurs ont exploité des failles 0day touchant les versions 2013, 2016 et 2019 du célèbre logiciel. “Les solutions Exchange Online ne sont pas affectées”, a confirmé au Manager Ramzi Ben Slimane, CTO d’Advancia Tunisie. “L’attaque cible des entreprises ayant recours à Exchange Server sur site”, a-t-il ajouté.
L’exploitation des vulnérabilités en question a permis aux attaquants de déployer des webshells sur les serveurs compromis. Le webshell est un outil de piratage protégé par mot de passe facile à utiliser, qui peut être consulté sur Internet depuis n’importe quel navigateur. Ce shell donne aux attaquants un accès administratif aux serveurs informatiques de la victime.
L’attaque est d’une telle importance qu’elle a été commentée par Jen Psaki, la porte-parole de la Maison Blanche: “Nous sommes préoccupés par le grand nombre de victimes et nous travaillons avec nos partenaires pour comprendre l’ampleur de la situation”, a-t-il déclaré.
Pour aider les entreprises, Microsoft a publié sur GitHub un script permettant d’analyser les fichiers log d’Exchange à la recherche d’indicateurs de compromission associés aux quatre vulnérabilités de sécurité exploitées. Cet outil reprend le nom de ProxyLogon qui a été donné par des chercheurs en sécurité de Devcore pour les exploits (Exchange Proxy Architecture et mécanisme Logon).
Selon l’américaine Cybersecurity and Infrastructure Security Agency, l’exploitation des vulnérabilités est généralisée au niveau national et international. À Wired, un chercheur en sécurité impliqué dans l’enquête a confié sous couvert d’anonymat que le nombre de serveurs Exchange piratés est de plus de 30 000 aux États-Unis, et des centaines de milliers dans le monde.
Pour se protéger, les entreprises doivent “appliquer le correctif fourni par Microsoft dans les plus brefs délais”, a recommandé Ben Slimene. “La procédure peut prendre de 2 à 3 heures selon les performances du serveur en question” a-t-il ajouté.
