Résumé (1)
Cet ensemble de failles a été baptisé Proxylogon par la société Devcore, qui explique avoir découvert plusieurs de ces vulnérabilités en fin d’année 2020 et les avoir signalées à Microsoft au début du mois de janvier. L’appellation Proxylogon désigne aujourd’hui quatre vulnérabilités distinctes (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) utilisées conjointement par les attaquants pour prendre le contrôle des machines visées.
Microsoft a publié un outil permettant de détecter les appareils piratés par des attaquants exploitant ces vulnérabilités. L’éditeur met également à jour ses différents outils de détection afin de leur permettre de repérer les traces d’éventuelles attaques.
L’enjeu pour les administrateurs est à la fois d’appliquer les patchs diffusés par Microsoft en début de semaine dernière, afin de parer de futures attaques, mais aussi de détecter les traces laissées par des attaques antérieures exploitant Proxylogon. La société Volexity avait ainsi signalé la semaine dernière que les premières attaques exploitant ces différentes vulnérabilités avaient été constatées par ses équipes depuis le 6 janvier 2021.
Je remarque :
- L’autorité bancaire européenne a mis ses serveurs hors-ligne.
Si la plupart des publications évoquent des victimes principalement américaines, Reuters mentionne que plusieurs dizaines de milliers d’organisations basées en Europe et en Asie sont également visées par ces attaques. L’Autorité bancaire européenne fait ainsi partie du lot : dans un communiqué publié dimanche, celle-ci indique avoir mis hors ligne ses systèmes de messagerie suite à une attaque informatique ayant visé ses serveurs Exchange. Les premières investigations sont en cours afin de determiner l’ampleur exacte de l’attaque.
Propos de bistrot
- Chaque semaine apporte son attaque massive, cela devient significatif en termes de risques IT. La dernière mode du Cloud semblait avoir réglé les problèmes. A cet instant, je ne sais pas si le problème est bien restreint aux serveurs hors cloud MSFT et affiliés.
- Il semble que les patch dispos n’aient pas été appliqués dès leur mise à disposition (Si cela est vrai, et si les responsables n’ont pas d’excuse, il semble que pour une fois MSFT ne soit pas à blâmer à partir de la date de mise à disposition des patchs)
- Je n’exonère en rien MSFT pour autant, de même que je ne leur jette pas la pierre, il me faut lire un peu plus sur la source profonde des failles Proxylogon, pour savoir si c’est un coup de malchance, ou bien un problème profond d’architecture comme cela semble être le cas (2), et je ne suis pas certain d’avoir les compétence pour comprendre
- Je serais très heureux d’en apprendre plus ici par des spécialistes, et de m’éduquer sur le sujet que je ne peux que survoler.
- La gestion de la sécurité IT actuelle semble avoir atteint ses limites : Je ne sais pas si la faille est dans la théorie, ou dans la mise en oeuvre ou application de la théorie. Des avis?
(1) Microsoft Exchange : Un script pour vérifier si votre système est vulnérable aux failles zero-day - ZDNet
(2) https://proxylogon.com/
(3) Des « centaines de milliers » de serveurs Exchange piratés par des hackers chinois
(4) CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub
(5) HAFNIUM targeting Exchange Servers with 0-day exploits - Microsoft Security
(6) Le piratage massif de Microsoft, terriblement ironique
(7) Failles Microsoft Exchange : Le nombre de victimes s'envole - ZDNet
(8) Microsoft Exchange victime d'une cyberattaque préoccupante - Les Numériques