Les conséquences qu’il faut attendre des failles de sécurité de Microsoft Exchange
Il y a un mois de cela jour pour jour, le géant américain de l’informatique que Microsoft, rendait public la détection de 4 failles de sécurité de type 0 day.
Des failles de sécurité qui ont profité a des cybercriminels pour initier plusieurs formes d’attaques informatiques. Si Microsoft a bel et bien proposé un patch de sécurité pour combler vulnérabilités, toutes les structures vulnérables n’ont pas encore exécuté les mises à jour nécessaire.
Cet article va aussi vous intéresser : Microsoft Exchange : les boîtes e-mails piratées
Si on est sûr d’une chose aujourd’hui, c’est bien sûr que les failles de sécurité ont été belle et bien exploité. Cependant, on ne peut établir avec certitude l’ampleur de ces exploits. On peut juste préciser que 400 000 serveurs ont été exposés dès le début de la faille de sécurité. Une situation qui se présente comme plateau servi pour les pirates informatiques.
De manière ou d’une autre, la réputation de Microsoft est en jeu.
« Les entreprises distribuent les courriers électroniques à leurs employés à l’aide de serveurs de courrier, dont Microsoft Exchange est l’un des plus répandus. Lorsque Microsoft a annoncé l’existence de quatre failles inconnues dans ses serveurs – des « vulnérabilités zero-day » –, elle a aussitôt publié des correctifs. Les vulnérabilités ont été découvertes par au moins deux groupes de chercheurs, au sein de sociétés spécialisées, DevCore (https://devco.re/en/), à Taiwan, et Volexity, aux États-Unis, qui ont averti Microsoft début janvier, en toute discrétion. C’est l’usage. Ce secret permet à l’entreprise de mettre au point des correctifs sans révéler les failles. Souvent, hormis les chercheurs, personne d’autre n’a identifié le problème, de sorte que, au moment où le correctif est publié, les criminels n’ont pas le temps de développer des outils pour l’exploiter… sauf si les entreprises tardent à déployer ces correctifs. C’est là qu’est le danger. Dans ce cas, les hackers qui tentent de comprendre, grâce au correctif, ce que ce dernier essayait de corriger (technique appelée rétro-ingénierie ou « reverse engineering »), peuvent l’exploiter afin d’attaquer les entreprises encore vulnérables. Ici, les failles étaient déjà exploitées : dès janvier, Volexity avait averti Microsoft qu’un groupe de hackers était occupé à (tranquillement) exploiter cette ou plutôt ces vulnérabilités. Autrement dit, les hackers avaient découvert ces failles avant même que Microsoft ne le sache et en profitaient pour compromettre la sécurité des serveurs. », détaille Charles Cuvelliez, enseignant à l’Université de Bruxelles et chef de la sécurité de l’information chez Belfius Banque – Gaël Hachez, PwC Belgique, cybersécurité et Jean-Jacques Quisquater, enseignant à l’université de Louvain et MIT.
De façon concrète, les failles de sécurité permettant aux pirates informatiques de réaliser certains exploits. À savoir par exemple :
– Infiltrer les e-mails du serveur Exchange pour espionner les conversations ou exfiltrer des informations.
– Exécuter un code malveillant (une porte dérobée) sur le serveur de l’entreprise dans le but d’y accéder à distance
– Exécuter certaines commandes qui en principe ne sont pas permise surtout en passant par les serveurs Exchange.
– S’octroyer des privilèges d’administrateur en exécutant un code arbitraire à distance.
– Ecrire des fichiers sur les serveurs Exchange peu importe la partie.
La gravité de cette situation est visible à travers la possibilité pour les pirates informatiques d’automatiser l’ensemble de leur action
Interrogé sur ces questions de failles de sécurité, le patron de la société de sécurité informatique américaine FireEye, Kevin Marndia explique : « Certaines configurations sont-elles plus exposées que d’autres ? Tout d’abord, pour profiter de ces failles, il faut que le serveur Exchange soit directement relié à Internet. La tâche est facilitée dans les petites entreprises, qui ont un seul serveur, car l’adresse e-mail des utilisateurs permet de pointer directement sur cet unique serveur. Dans le cas contraire, il reste nécessaire d’identifier plus précisément le serveur à attaquer. Certaines sociétés ne permettent à leurs employés d’accéder aux e-mails qu’à condition de se connecter préalablement au réseau d’entreprise. Celles-là sont a priori mieux protégées, même si l’installation de correctifs de sécurité reste indispensable : un hacker qui serait rentré dans le réseau via un autre moyen peut alors accéder au serveur et exploiter les vulnérabilités. ».
Lorsque Microsoft a par exemple découvert les failles de sécurité, il était en son obligation bien sûr d’avertir le public. L’entreprise américaine était face à une course à la montre où il lui était exigé de produire le plus tôt possible un correctif de sécurité pour combler les vulnérabilités. Pourtant les choses ne sont pas si simples que cela. Effectivement, « Mais tout le monde savait à l’avance qui allait gagner : appliquer ces correctifs (ce qu’on appelle « patcher » des serveurs dans le jargon), les programmer et les planifier est une tâche assez longue. Pour « patcher » des serveurs, il faut les déconnecter du réseau, y accéder en mode administrateur, appliquer les instructions de Microsoft. Tout cela laisserait du temps aux criminels. Ce n’est que récemment que Microsoft a proposé pour les entreprises un correctif tout-en-un qui se rapproche des mises à jour que nous appliquons tous sur nos ordinateurs personnels. Et ce correctif tout-en-un n’est apparu qu’après que le Conseil de sécurité nationale de la Maison-Blanche a instamment demandé à Microsoft d’aider les petites entreprises, qui n’ont pas d’équipes dédiées, prêtes à faire face, à surmonter cette vulnérabilité. » expliquent nos spécialistes. Et cela se confirme lorsque le 23 mars dernier, Microsoft annoncé qu’il y avait encore 30 000 infrastructures qui n’avaient pas toujours adoptés les patchs de sécurité. Quelques semaines avant, soit le 12 mars, il y avait encore 82 000 infrastructures qui étaient toujours vulnérables.
Accédez maintenant à un nombre illimité de mot de passe :
