Analyse du piratage du serveur Microsoft Exchange

Cela fait maintenant plus d’un mois que Microsoft a admis qu’elle avait connu une violation de données sur son serveur Microsoft Exchange sur site. Les pirates ont pu obtenir des privilèges d’administrateur (lien en anglais) sur les serveurs affectés, accéder aux emails et mots de passe des utilisateurs et aux appareils connectés sur le même réseau. Un certain nombre d’autres révélations ont également été faites.

Le piratage du serveur Microsoft Exchange

Le contexte du piratage du serveur Microsoft Exchange

Le 5 janvier 2021, un chercheur de la société DEVCORE, spécialisée dans les tests de sécurité, a signalé à Microsoft la première vulnérabilité connue. Ce rapport a ensuite été vérifié par Microsoft le 8 janvier. Plusieurs violations des serveurs de Microsoft Exchange sur site ont été observées par plusieurs intervenants au cours du même mois. Tous ont alerté Microsoft.

Aux alentours des 26 et 27 février, les pirates ont commencé à scanner en masse les serveurs Microsoft Exchange afin d’y introduire des portes dérobées. Cela semble avoir été fait en particulier en prévision d’un correctif (lien en anglais) de Microsoft.

Le 2 mars, Microsoft a publié des mises à jour pour corriger 4 failles de type « zero-day » dans la base de code du serveur Microsoft Exchange. Simultanément, la société a mis en cause un groupe de pirates connus (lien en anglais) avec une grande certitude. Plus tard, d’autres groupes de cyberattaquants (lien en anglais) ont été associés.

Le 5 mars, un journaliste connu dans le domaine de la cybersécurité a révélé un scoop (lien en anglais) : au moins 30 000 organisations aux États-Unis et des milliers d’autres dans le monde entier sont désormais dotées de portes dérobées. Les experts en sécurité se sont efforcés d’informer les victimes. Mais ils ont souligné qu’il fallait se préparer à une autre série d’attaques en raison des portes dérobées précédemment installées sur les serveurs affectés.

Situation actuelle du piratage du Serveur Microsoft Exchange

Le 12 mars 2021, Microsoft a twitté (lien en anglais) qu’il restait encore 82 000 serveurs Microsoft Exchange non corrigés et exposés au problème. Cependant, comme ils n’ont pas été mis à jour à temps, un grand nombre de ces serveurs ont continué à être violés. Entre-temps, les hackers ont déployé un certain nombre de rançongiciels (ransomwares) sur les serveurs déjà infectés.

Le 22 mars, Microsoft a annoncé que la faille avait été corrigée (lien en anglais) ou atténuée sur 92 % des serveurs Microsoft Exchange sur site.

Le 12 avril, le CISA a ajouté deux nouveaux rapports d’analyse de logiciels malveillants (MARs pour Malware Analysis Reports) à l’Alert AA21-062A : « Mitigate Microsoft Exchange Server Vulnerabilities« . Microsoft a continué de corriger les problèmes liés dans la mise à jour de sécurité d’avril 2021.

Comme les pirates ont utilisé 4 failles zero-day différentes, les enchaînant pour obtenir un accès administrateur sur les serveurs affectés, ils ont pu installer des portes dérobées. Il est donc très important pour chaque administrateur de serveur Microsoft Exchange sur site, non seulement d’appliquer un correctif, mais aussi de remédier à toute exploitation ou à toute activité persistante identifiée (en utilisant les directives (lien en anglais) connues de Microsoft et d’autres opérateurs indépendants (lien en anglais)).

Mailfence n’a pas été touché

Nous ne partageons aucun code avec le serveur Microsoft Exchange offert sur site (ou l’un de ses services). De ce fait, notre service n’a pas été touché.

Nous l’avons également annoncé sur notre compte twitter :

Préférez les services privés par construction et privilégiez le chiffrement

Mailfence est un service de messagerie électronique sécurisé et privé qui respecte la confidentialité des données des utilisateurs et offre un chiffrement de bout en bout des emails. Les données chiffrées de bout en bout restent protégées même si le serveur est corrompu. Nous prévoyons d’étendre ce type de chiffrement aux messages en clair envoyés/reçus, ainsi qu’au composant Documents. Nous prévoyons également de chiffrer les données au repos stockées dans le courant de cette année, ce qui ajoutera effectivement une nouvelles couche de protection aux données des utilisateurs. Restez à l’écoute !

Obtenez votre messagerie securisée

Suivez-nous sur Twitter/Reddit et tenez-vous constamment informé.

– L’Équipe Mailfence

Vous aimerez aussi...