{"id":22106,"date":"2021-04-13T16:32:40","date_gmt":"2021-04-13T14:32:40","guid":{"rendered":"https:\/\/test-blog.mailfence.com\/?p=22106"},"modified":"2024-05-30T11:46:26","modified_gmt":"2024-05-30T09:46:26","slug":"analyse-piratage-serveur-microsoft-exchange","status":"publish","type":"post","link":"https:\/\/blog.mailfence.com\/fr\/analyse-piratage-serveur-microsoft-exchange\/","title":{"rendered":"Analyse du piratage du serveur Microsoft Exchange"},"content":{"rendered":"\n


Cela fait maintenant plus d’un mois que Microsoft a admis qu’elle avait connu une violation de donn\u00e9es sur son serveur Microsoft Exchange<\/a> sur site. Les pirates ont pu obtenir des privil\u00e8ges d’administrateur<\/a> (lien en anglais) sur les serveurs affect\u00e9s, acc\u00e9der aux emails et mots de passe des utilisateurs et aux appareils connect\u00e9s sur le m\u00eame r\u00e9seau. Un certain nombre d’autres r\u00e9v\u00e9lations ont \u00e9galement \u00e9t\u00e9 faites.<\/p>\n\n\n\n\n\n\n

Le contexte du piratage du serveur Microsoft Exchange<\/h2>\n\n\n\n

Le 5 janvier 2021<\/strong>, un chercheur de la soci\u00e9t\u00e9 DEVCORE, sp\u00e9cialis\u00e9e dans les tests de s\u00e9curit\u00e9, a signal\u00e9 \u00e0 Microsoft<\/a> la premi\u00e8re vuln\u00e9rabilit\u00e9 connue. Ce rapport a ensuite \u00e9t\u00e9 v\u00e9rifi\u00e9 par Microsoft<\/a> le 8 janvier. Plusieurs violations des serveurs de Microsoft Exchange sur site ont \u00e9t\u00e9 observ\u00e9es par plusieurs intervenants au cours du m\u00eame mois. Tous ont alert\u00e9 Microsoft.<\/p>\n\n\n\n

Aux alentours des 26 et 27 f\u00e9vrier<\/strong>, les pirates ont commenc\u00e9 \u00e0 scanner en masse les serveurs Microsoft Exchange afin d’y introduire des portes d\u00e9rob\u00e9es. Cela semble avoir \u00e9t\u00e9 fait en particulier en pr\u00e9vision d’un correctif<\/a> (lien en anglais) de Microsoft.<\/p>\n\n\n\n

Le 2 mars<\/strong>, Microsoft a publi\u00e9 des mises \u00e0 jour <\/a>pour corriger 4 failles de type \u00ab\u00a0zero-day\u00a0\u00bb dans la base de code du serveur Microsoft Exchange. Simultan\u00e9ment, la soci\u00e9t\u00e9 a mis en cause un groupe de pirates connus<\/a> (lien en anglais) avec une grande certitude. Plus tard, d’autres groupes de cyberattaquants<\/a> (lien en anglais) ont \u00e9t\u00e9 associ\u00e9s.<\/p>\n\n\n\n

Le 5 mars<\/strong>, un journaliste connu dans le domaine de la cybers\u00e9curit\u00e9 a r\u00e9v\u00e9l\u00e9 un scoop<\/a> (lien en anglais) : au moins 30 000 organisations aux \u00c9tats-Unis et des milliers d’autres dans le monde entier sont d\u00e9sormais dot\u00e9es de portes d\u00e9rob\u00e9es. Les experts en s\u00e9curit\u00e9 se sont efforc\u00e9s d’informer les victimes. Mais ils ont soulign\u00e9 qu’il fallait se pr\u00e9parer \u00e0 une autre s\u00e9rie d’attaques en raison des portes d\u00e9rob\u00e9es pr\u00e9c\u00e9demment install\u00e9es sur les serveurs affect\u00e9s.<\/p>\n\n\n\n

Situation actuelle du piratage du Serveur Microsoft Exchange<\/h2>\n\n\n\n

Le 12 mars 2021<\/strong>, Microsoft a twitt\u00e9<\/a> (lien en anglais) qu’il restait encore 82 000 serveurs Microsoft Exchange non corrig\u00e9s et expos\u00e9s au probl\u00e8me. Cependant, comme ils n’ont pas \u00e9t\u00e9 mis \u00e0 jour \u00e0 temps, un grand nombre de ces serveurs ont continu\u00e9 \u00e0 \u00eatre viol\u00e9s. Entre-temps, les hackers ont d\u00e9ploy\u00e9 un certain nombre de ran\u00e7ongiciels<\/a> (ransomwares) sur les serveurs d\u00e9j\u00e0 infect\u00e9s.<\/p>\n\n\n\n

Le 22 mars<\/strong>, Microsoft a annonc\u00e9 que la faille avait \u00e9t\u00e9 corrig\u00e9e ou att\u00e9nu\u00e9e sur 92 % des serveurs Microsoft Exchange sur site.<\/p>\n\n\n\n

Le 12 avril<\/strong>, le CISA a ajout\u00e9 deux nouveaux rapports d’analyse de logiciels malveillants (MARs pour Malware Analysis Reports) \u00e0 l’Alert AA21-062A : \u00ab\u00a0Mitigate Microsoft Exchange Server Vulnerabilities<\/a>\u00ab\u00a0. Microsoft a continu\u00e9 de corriger les probl\u00e8mes li\u00e9s dans la mise \u00e0 jour de s\u00e9curit\u00e9 d’avril 2021<\/a>.<\/p>\n\n\n\n

Comme les pirates ont utilis\u00e9 4 failles zero-day diff\u00e9rentes, les encha\u00eenant pour obtenir un acc\u00e8s administrateur sur les serveurs affect\u00e9s, ils ont pu installer des portes d\u00e9rob\u00e9es. Il est donc tr\u00e8s important pour chaque administrateur de serveur Microsoft Exchange sur site, non seulement d’appliquer un correctif, mais aussi de rem\u00e9dier \u00e0 toute exploitation ou \u00e0 toute activit\u00e9 persistante identifi\u00e9e (en utilisant les directives<\/a> (lien en anglais) connues de Microsoft et d’autres op\u00e9rateurs ind\u00e9pendants<\/a> (lien en anglais)).<\/p>\n\n\n\n

Mailfence n’a pas \u00e9t\u00e9 touch\u00e9<\/h2>\n\n\n\n

Nous ne partageons aucun code avec le serveur Microsoft Exchange offert sur site (ou l’un de ses services). De ce fait, notre service n’a pas \u00e9t\u00e9 touch\u00e9.<\/p>\n\n\n\n

Nous l’avons \u00e9galement annonc\u00e9 sur notre compte twitter :<\/p>\n\n\n\n

\n

We run our own implementation of Microsoft specifications. Mailfence users are not impacted.<\/p>— Mailfence (@Mailfence) March 10, 2021<\/a><\/blockquote>