Vulnérabilités Microsoft Exchange : des groupes de pirates en profitent pour lancer des raids ransomware

Alexandre Boero
Chargé de l'actualité de Clubic
17 mars 2021 à 09h15
5
Comment se prémunir et se débarrasser d’un ransomware ?

Les cybercriminels accélèrent la diffusion de ransomwares après les vulnérabilités majeures découvertes dans les serveurs Exchange.

C'était prévisible. Les failles zero-day des serveurs Microsoft Exchange sont si importantes et ont touché un si grand nombre d'entreprises, organisations et institutions que le bilan réel des dégâts mettra plusieurs mois, pour ne pas pas dire plusieurs années à être établi. Les conséquences, elles, se font déjà ressentir. Parmi elles, la menace des ransomwares, que nous redoutions, fait déjà l'actualité.

Lire aussi :
Faille des serveurs Microsoft Exchange : 10 groupes pirates ont été identifiés

Des ransomwares qui n'ont pas tardé à se montrer

Après la découverte du piratage des serveurs Microsoft Exchange, due rappelons-le à l'exploitation de quatre failles qui ont permis à de nombreux groupes de hackers de lancer des attaques en trois étapes et de s'emparer des serveurs, il n'aura fallu que quelques jours pour qu'un premier ransomware opportuniste soit repéré.

Celui-ci répond au nom de DearCry, ou DoejoCrypt (Ransom:Win32/DoejoCrypt.A). Selon les spécialistes de la cybersécurité, les opérateurs derrière DearCry profiteraient de la vulnérabilité ProxyLogon Exchange, un nom qui signifie que les attaques proviennent de multiples hackers. En d'autres termes, des attaquants externes non authentifiés ont pu se connecter à des serveurs Exchange en danger. Avec des attaques qui ont été multipliées par 10 en l'espace de quatre petits jours.

Si vous étiez absent(e)… Le piratage des serveurs Microsodt Exchange, Une attaque en trois étapes :

  • L'accès au serveur Exchange ;
  • la création d'un webshell, ce script ou programme malveillant qui permet de prendre le contrôle d'un appareil à distance par exécution de code ;
  • l'accès permettant le vol de données du réseau, le tout sans même avoir les identifiants d'un compte valide.

Microsoft a même confirmé que DearCry était en train d'exploiter les quatre vulnérabilités zero-day dénichées sur les versions 2013, 2016 et 2019 des serveurs Exchange.

Lire aussi :
Failles de Microsoft Exchange : les correctifs apportés ne suffisent pas, ce qui inquiète la Maison-Blanche

DearCry se joue des entités qui ont du mal à appliquer les correctifs de Microsoft

Encore une fois, tout se joue sur la correction des failles. Les patchs existent, mais les entités exposées ne sont pas toutes parvenues à faire le nécessaire pour se protéger, ce qui font d'elles des cibles de choix. « L'attaque DearCry est beaucoup moins sophistiquée et moins directe - il semble s'agir d'une tentative d’attaque de type "smash-and-grab" (envoi à un grand nombre de cibles, sans ciblage précis) visant à soutirer de l'argent aux entreprises qui ont dû mal à réaliser la mise à jour (patching) de leurs serveurs Exchange », nous explique Jérôme Soyer, directeur technique Europe du Varonis, spécialiste de la gouvernance et de la cybersécurité des données.

L'expert conseille aux entreprises pouvant être concernées par le piratage des serveurs Exchange, et cela ne vise pas que DearCry, de « faire rapidement le point sur leur environnement, pour savoir au plus vite où se trouvent leurs serveurs et leurs comptes Exchange, et identifier soigneusement toutes les instances d'Exchange qui peuvent encore être actives. Puis évidemment d’appliquer les correctifs ».

Microsoft a annoncé protéger ses utilisateurs contre la menace DearCry, et précise que ceux qui utilisent la solution Windows Defender (configurée en mode « mises à jour automatiques »), n'ont pas à entreprendre de nouvelles démarches.

Si vous pensez avoir été compromis avant l'application des correctifs, mieux vaut alors trouver manuellement et supprimer les webshells déposés sur les serveurs. Pour débusquer plus facilement les petits programmes malveillants, Microsoft a publié, sur GitHub, un script permettant de vérifier leur présence sur les serveurs Exchange.

Sources : Vice, Microsoft, communiqué

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (5)

GRITI
Est-ce que ce genre de failles avec tout les conséquences pour des milliers d’entreprises pourrait coûter cher à Microsoft (ou toute autre boîte fournissant ce genre de service)?<br /> Au niveau des assurances, comment est-ce couvert?
AlexLex14
Hello Griti,<br /> C’est une excellente question et j’avoue ignorer la réponse… Je me suis posé la question là-dessus, comme pour l’incendie du data center de OVH d’ailleurs.<br /> Qu’est-ce qui est assuré ? Attaquable ou défendable ? ça pourrait être intéressant de creuser le sujet en tout cas
Titanee
Je ne pense pas que Microsoft ait quelque chose à craindre à ce niveau. Si il doit y avoir des répércussions elles seront politique et uniquement aux Etats-Unis. Ils ont fourni les correctifs, certes pas à temps, mais fourni quand même, ils ont fait une très grosse communication à ce sujet. De plus je ne connais pas les License Agreement par coeur mais c’est une certitude qu’ils sont blindés niveau juridique.<br /> Il y a quelques années le ransomware WannaCry exploitant la vulnérabilité EternalBlue a fait des ravages que l’on peut clairement comparer à ce qui se passe ici et Microsoft n’a pas été inquiété.<br /> Au niveau assurance il existe des assurances spécifiques pour la Cyber Securité qui ont généralement un prix raisonnable et comprend la mise à disposition d’une équipe de réponse d’incident en cyber-sécurité pour quelques jours de tavail à assigner en fonction des besoins du moment (Réponse, Forensics, Conseils, Reconstruction,…). Ensuite il existe également des clauses d’indémnisation.<br /> Je préfére être clair sur ce point, l’assurance ca sort pas l’argent comme ça et il va falloir montrer patte blanche à tous les niveaux avant de toucher le moindre sou.<br /> Exemple d’assurance chez AIG: Cyber Liability Insurance | AIG Belgium
GRITI
Merci @Titanee pour la reponse.<br /> Je n’ai aucun doute sur le fait que les assurances ne sortent pas l’argent aussi facilement… Les expertises vont être coton à faire dans ce genre de domaine je pense.<br /> @AlexLex14<br /> Hello <br /> Au vu de la numérisation croissante de notre société et la hausse énorme des attaques informatiques, cela risque de coûter de plus en plus cher aux assurances. Un peu comme avec les catastrophes naturelles qui augmentent (même si les montants et conséquences ne sont pas comparables).<br /> Une future série d’articles sur le sujet peut-être …<br /> Autre idée : le cyber harcèlement : ses formes, les conséquences, lois sur le sujet et, surtout peut-être, les moyens de s’en protéger et se défendre (associations, bonnes pratiques, outils …)
Banditcox
@Griti, J’ ai le cas et de là à ce que les assurances payent en cas de dégâts … ils cherchent tellement la petite bête qui pourrait leurs permettent de ne pas sortir le carnet de chèque (c’est pourtant des assurance spéciales qui ne traitent que ce genre de problèmes et qui coutent relativement cher) , que même avec toutes les précautions prises en amont (mise à jour , pare feu , vpn ect… ) t’as l’impression d’avoir mal fait ton boulot et compte pas sur Microsoft pour t’épauler ou t’aider , t’a les stagiaires au bout du fil …
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Vulnérabilités Microsoft Exchange : des groupes de pirates en profitent pour lancer des raids ransomware Vulnérabilités Microsoft Exchange : des groupes de pirates en profitent pour lancer des raids ransomware
Failles de Microsoft Exchange : les correctifs apportés ne suffisent pas, ce qui inquiète la Maison-Blanche Failles de Microsoft Exchange : les correctifs apportés ne suffisent pas, ce qui inquiète la Maison-Blanche
Microsoft alerte sur des failles zero-day exploitées en Chine et provenant de son logiciel Exchange Microsoft alerte sur des failles zero-day exploitées en Chine et provenant de son logiciel Exchange
Faille des serveurs Microsoft Exchange : 10 groupes pirates ont été identifiés Faille des serveurs Microsoft Exchange : 10 groupes pirates ont été identifiés
Windows 10 : le Patch Tuesday de Microsoft corrige 5 failles zero day et plus de 100 autres vulnérabilités Windows 10 : le Patch Tuesday de Microsoft corrige 5 failles zero day et plus de 100 autres vulnérabilités