TRANSITION NUMÉRIQUE - INNOVATION - COMPÉTITIVITÉ

13Avr 2021

[Avis d’experts] Failles Microsoft Exchange : de l’histoire ancienne ? Ce qu’il faut retenir 1/2

Par Inès FERNANDES Sécurité, Technologies

La semaine dernière, nous vous proposions un panorama des vulnérabilités existantes ainsi que les processus de correction qui peuvent leur être associés. Aujourd’hui, nous avons souhaité approfondir la thématique des vulnérabilités en analysant un cas concret récent, les failles Microsoft Exchange, pour en identifier des enseignements en matière de cybersécurité. Le 2 mars 2021, Microsoft a rendu publiques des vulnérabilités critiques sur les serveurs de messagerie Exchange. Au total, 400 000 entités exposées. Des failles déjà exploitées par des organisations cybercriminelles à des fins d’espionnage notamment. C’est le cas de HAFNIUM, groupe de hackers chinois dont on estime à 60 000 le nombre de victimes. HAFNIUM a ainsi pu pénétrer dans le réseau de ses victimes pour accéder à des données et exécuter du code. Si Microsoft a rapidement publié des correctifs et mises à jour, nul ne connait l’ampleur des compromissions ayant eu lieu avant la divulgation des failles. Ni leurs répercussions futures… Peut-on dire que ces failles ne sont plus qu’un lointain souvenir ? Deux experts Adista décryptent les vulnérabilités Exchange et apportent leur éclairage sur la situation : entretien avec Bertrand Maujean, RSSI et David Boucher, Responsable du Pôle d’expertise Cybersécurité.

 

Ce qu’il faut retenir des vulnérabilités Microsoft Exchange, 1er épisode :

 

Comment les pirates exploitent-ils les failles Microsoft Exchange ?

« Premièrement, les hackers installent un « web shell » sur les serveurs Exchange vulnérables. C’est une porte dérobée qui leur permet d’explorer les lieux pour décider s’il est intéressant d’aller plus loin, et éventuellement de revenir plus tard. Ensuite, ce qui a été constaté, avec HAFNIUM par exemple, c’est qu’ils peuvent exfiltrer des emails et carnets d’adresses sans aucun besoin d’authentification. La chaine d’exploitation est « wormable », c’est-à-dire qu’elle permet de prendre le contrôle sans interaction avec l’administrateur ou l’utilisateur légitime : les attaquants peuvent lancer des commandes non autorisées, augmenter leurs privilèges système afin d’exécuter du code à distance et ainsi accéder à des données sensibles ou encore écrire des fichiers dans le serveur. Le tout automatisable avec pour objectif de démultiplier les cibles. »

 

Pourquoi les vulnérabilités Microsoft Exchange sont particulièrement critiques ?

« Ces vulnérabilités étaient déjà activement exploitées bien avant leur divulgation par Microsoft en mars. Dès janvier, des chercheurs en cybersécurité ont alerté Microsoft de l’existence de quatre vulnérabilités « zero-day » sur les serveurs de messagerie Exchange. Au moins un groupe criminel semble avoir eu un bon mois d’avance sur la défense : HAFNIUM. Microsoft a alors travaillé dans le secret afin de mettre au point des correctifs rendus disponibles début mars. Mais entre la publication des ces patchs et leur application effective par les organisations concernées, il y a un temps incompressible à la faveur des criminels. D’autres groupes cyber criminels ont pu comprendre le mécanisme d’attaque, notamment en étudiant méticuleusement les correctifs publiés. Ce qui fait que, mi-mars, un grand nombre de groupes de pirates exploitaient cette technique. »  

 

Y a-t-il des entités plus vulnérables que d’autres ?

« Le premier problème c’est que toutes les entreprises ne disposent pas des moyens nécessaires pour effectuer ces correctifs seules, rapidement et efficacement. Microsoft a fourni plus tard une mise-à-jour complète permettant de corriger toutes ces failles. Mais les attaquants, eux, n’attendent pas. De plus, les serveurs Exchange, et leur webmail par lequel le pirate peut entrer, ont naturellement vocation à être exposés sur internet. Ils ne sont pas hébergés dans un réseau interne douillet. Or dans les petites entreprises qui n’ont qu’un seul serveur, les adresses email des utilisateurs pointent directement vers cet unique serveur. La tâche est plus complexe avec des structures plus conséquentes disposant de plusieurs serveurs car il faut aux hackers identifier au préalable le serveur à attaquer. Dans les structures où le collaborateur doit se connecter au réseau d’entreprise avant de pouvoir accéder à sa messagerie, les risques sont à priori plus limités également. Mais les correctifs et mises-à-jour restent indispensables car des hackers peuvent être entrés par d’autres moyens et accéder au serveur Exchange pour en exploiter les vulnérabilités. »

 

Rendez-vous demain pour la suite de l’analyse de ces failles Exchange et leurs enseignements !