Vulnérabilités Microsoft Exchange : des groupes de pirates en profitent pour lancer des raids ransomware

17 mars 2021 à 08h20
5

Les cybercriminels accélèrent la diffusion de ransomwares après les vulnérabilités majeures découvertes dans les serveurs Exchange.

C'était prévisible. Les failles zero-day des serveurs Microsoft Exchange sont si importantes et ont touché un si grand nombre d'entreprises, organisations et institutions que le bilan réel des dégâts mettra plusieurs mois, pour ne pas pas dire plusieurs années à être établi. Les conséquences, elles, se font déjà ressentir. Parmi elles, la menace des ransomwares, que nous redoutions, fait déjà l'actualité.

Des ransomwares qui n'ont pas tardé à se montrer

Après la découverte du piratage des serveurs Microsoft Exchange, due rappelons-le à l'exploitation de quatre failles qui ont permis à de nombreux groupes de hackers de lancer des attaques en trois étapes et de s'emparer des serveurs, il n'aura fallu que quelques jours pour qu'un premier ransomware opportuniste soit repéré.

Celui-ci répond au nom de DearCry, ou DoejoCrypt (Ransom:Win32/DoejoCrypt.A). Selon les spécialistes de la cybersécurité, les opérateurs derrière DearCry profiteraient de la vulnérabilité ProxyLogon Exchange, un nom qui signifie que les attaques proviennent de multiples hackers. En d'autres termes, des attaquants externes non authentifiés ont pu se connecter à des serveurs Exchange en danger. Avec des attaques qui ont été multipliées par 10 en l'espace de quatre petits jours.

Si vous étiez absent(e)… Le piratage des serveurs Microsodt Exchange, Une attaque en trois étapes :

  • L'accès au serveur Exchange ;
  • la création d'un webshell, ce script ou programme malveillant qui permet de prendre le contrôle d'un appareil à distance par exécution de code ;
  • l'accès permettant le vol de données du réseau, le tout sans même avoir les identifiants d'un compte valide.

Microsoft a même confirmé que DearCry était en train d'exploiter les quatre vulnérabilités zero-day dénichées sur les versions 2013, 2016 et 2019 des serveurs Exchange.

DearCry se joue des entités qui ont du mal à appliquer les correctifs de Microsoft

Encore une fois, tout se joue sur la correction des failles. Les patchs existent, mais les entités exposées ne sont pas toutes parvenues à faire le nécessaire pour se protéger, ce qui font d'elles des cibles de choix. « L'attaque DearCry est beaucoup moins sophistiquée et moins directe - il semble s'agir d'une tentative d’attaque de type "smash-and-grab" (envoi à un grand nombre de cibles, sans ciblage précis) visant à soutirer de l'argent aux entreprises qui ont dû mal à réaliser la mise à jour (patching) de leurs serveurs Exchange », nous explique Jérôme Soyer, directeur technique Europe du Varonis, spécialiste de la gouvernance et de la cybersécurité des données.

L'expert conseille aux entreprises pouvant être concernées par le piratage des serveurs Exchange, et cela ne vise pas que DearCry, de « faire rapidement le point sur leur environnement, pour savoir au plus vite où se trouvent leurs serveurs et leurs comptes Exchange, et identifier soigneusement toutes les instances d'Exchange qui peuvent encore être actives. Puis évidemment d’appliquer les correctifs ».

Microsoft a annoncé protéger ses utilisateurs contre la menace DearCry, et précise que ceux qui utilisent la solution Windows Defender (configurée en mode « mises à jour automatiques »), n'ont pas à entreprendre de nouvelles démarches.

Si vous pensez avoir été compromis avant l'application des correctifs, mieux vaut alors trouver manuellement et supprimer les webshells déposés sur les serveurs. Pour débusquer plus facilement les petits programmes malveillants, Microsoft a publié, sur GitHub, un script permettant de vérifier leur présence sur les serveurs Exchange.

Sources : Vice, Microsoft, communiqué

Modifié le 17/03/2021 à 09h15
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
4
Voir tous les messages sur le forum

Actualités récentes

Shadow : Iliad formule officiellement une offre de rachat
Renault, Thales, STMicroelectronics et d'autres entreprises lancent l'initiative Software République
Le nouveau SUV ID.6 se dévoile un peu plus avant le Salon de l'automobile de Shanghai
Xbox : Fable, Everwild et Perfect Dark pourraient ne pas sortir avant plusieurs années
Microsoft rachète Nuance, le spécialiste des assistants virtuels ayant donné naissance à Siri, pour 19,7 milliards de dollars (màj)
Bercy veut s'attaquer aux méthodes douteuses de dropshipping des influenceurs
En dépit des pénuries, les expéditions de PC ont augmenté de 55 % sur le premier trimestre 2021
Le Bitcoin à 400 000 dollars dès 2021 ? C’est une hypothèse, selon un rapport Bloomberg
Google abandonne son application mobile Google Shopping
Toyota tease son prochain crossover électrique, le premier modèle
Haut de page