Une correction rapide d’Exchange n’exclut pas le piratage
La faille dans Exchange contre laquelle Microsoft met en garde depuis la semaine dernière, touche aussi des entreprises belges. Des experts en sécurité préviennent que la colmater ne suffit pas toujours. Il y a en effet un risque réel d’intrusion avant même la sortie du patch.
La semaine dernière, Microsoft mettait en garde contre une faille zero day dans son logiciel e-mail Exchange. Des correctifs sont sortis, et les gestionnaires ont été sommés de les installer dans les plus brefs délais. Peu après, on apprenait que des pirates d’Etat, probablement chinois, abusaient activement de la faille. ESET a évoqué quelques centaines de cibles, dont au minimum une entreprise belge.
Mais un peu moins d’une semaine après les faits, la situation a pris de l’ampleur, et il est probable que nettement plus d’organisations belges aient à pâtir de ladite faille, sans compter que chaque serveur – et de loin – n’a pas encore installé le patch.
Intrusion avant même la sortie du patch
Dans notre pays tournent quelque 2.300 serveurs Exchange, dont il est malaisé de spécifier combien ont été effectivement actualisés. Aux Pays-Bas, le Nationaal Cyber Security Centrum estime que plus de quarante pour cent des serveurs Exchange n’ont pas encore été corrigés.
Le CERT belge ne connaît pas l’ampleur du problème dans notre pays, mais met en garde contre un risque depuis la semaine dernière. L’organisme a eu connaissance d’au moins trois entreprises belges compromises, tout en expliquant les mesures que les gestionnaires des serveurs doivent prendre.
‘De nouvelles mises à jour sortent régulièrement qui doivent être installées rapidement. Il est également important de redémarrer (reboot) le système après l’installation et de contrôler le tout régulièrement pour savoir s’il n’y a pas d’indices de compromission’, affirme Miguel De Bruycker, directeur du Centre pour la Cyber-sécurité Belgique (CCB).
La firme de sécurité Shift Left Security a elle aussi eu connaissance d’au moins une PME belge piratée, selon Erwin Geirnaert, Chief Hacking Officer chez Shift Left Security. ‘Il s’agit d’une importante PME flamande’, sans la citer nommément. Mais même en cas d’actualisation immédiate, il peut déjà s’avérer trop tard du fait que le problème n’a été découvert qu’après les premières intrusions.
‘Il y a eu des indicateurs d’intrusion et dans les jours qui ont précédé la sortie du patch, on nota déjà une effraction’, déclare Geirnaert à Data News. Ce piratage s’est fait par phases ‘Une exploitation automatique d’une faille a été exécutée. La prochaine étape est l’activation du webshell permettant un téléchargement complémentaire de deux chevaux de Troie. Tel ne fut pas le cas chez notre client. Mais le fait que des piratages ne se manifesteraient que dans des entreprises américaines, je n’y crois guère.’
Geirnaert avertit que la faille a été découverte par Microsoft, parce que des attaques étaient en cours. Beaucoup d’entreprises sont donc déjà compromises avant même qu’elles aient pu actualiser leurs systèmes. ‘Ce type d’attaque peut entre autres servir à déployer ensuite un rançongiciel dans une entreprise.’
Corriger et scanner
Pour être certain, il convient donc non seulement d’installer le patch, mais aussi de faire tourner le Safety Scanner de Microsoft, ainsi qu’HealthChecker, un script mis à disposition par Microsoft en vue de détecter des anormalités. Si vous voulez connaître toutes les mesures et tous les conseils de Microsoft, veuillez consulter le communiqué posté sur son blog (et entre-temps actualisé) à propos du problème en question.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici