Début mars, Microsoft avertissait les utilisateurs de son service d’email Exchange à propos de plusieurs vulnérabilités. Hafnium, un groupe de hackers affilié à la Chine exploitait quatre d’entre elles dans une chaîne d’attaque connue sous le nom ProxyLogon. L’objectif : s’infiltrer dans les communications des victimes pour récupérer de précieux renseignements. Microsoft invitait ses clients à déployer au plus vite un patch — une version mise à jour de Exchange sans les vulnérabilités — afin de se protéger.
Problème : l’annonce a déclenché un contre-la-montre entre les attaquants qui venaient de prendre connaissance de ProxyLogon et les organisations utilisatrices d’Exchange, pas toujours préparées pour patcher rapidement. Dans les jours qui ont suivi, les chercheurs ont identifié que 9 APT (des groupes de hackers à la solde d’un État), et au moins trois gangs de cybercriminels (dont un rançongiciel) ont attaqué les serveurs vulnérables.
10 jours après son avertissement, Microsoft a tiré un bilan plutôt rassurant : il avait identifié 400 000 serveurs vulnérables, et il n’en restait plus que 82 000. Ce nombre reste cependant non négligeable, et amène une question : pourquoi les administrateurs de ces milliers de serveurs restants ne déploient-ils pas le patch ? Certains ne le font peut-être pas par négligence, mais Microsoft suppose que la majorité n’a tout simplement pas les compétences en interne pour le faire.
EOMT, pansement contre ProxyLogon
L’entreprise a donc publié un outil, nommé Exchange On-Premises Mitigation Tool (EOMT), « pour aider les clients qui n’ont pas d’équipe de sécurité ou d’informatique dédiée à l’application des mises à jour de sécurité ». Son utilisation est à la portée de n’importe qui : il suffit de le télécharger, puis de faire un double clic sur le fichier.
EOMT va déployer une protection contre une des quatre vulnérabilités de ProxyLogon, celle utilisée comme premier maillon de la chaîne d’attaque. Autrement dit, l’outil ne corrige pas la vulnérabilité, il en bloque simplement l’accès, et il ne répare pas non plus les trois autres. Il ne se substitue pas au patch, mais permet de protéger suffisamment le serveur Exchange en attendant le déploiement.
En plus de prévenir, EOMT agit aussi contre les dégâts déjà faits, car il embarque l’outil de vérification du groupe, Microsoft Safety Scanner. Ce dernier va détecter et supprimer les scripts (backdoor, webshells…) déjà installés par d’éventuels attaquants, afin de leur bloquer une fois pour toutes l’accès au serveur de la victime. De quoi ne plus entendre parler de ProxyLogon d’ici quelque temps ? Peut-être, mais encore faut-il que les organisations vulnérables aient conscience du danger auquel elles s’exposent.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !