Si l’on devait retenir une leçon des récentes attaques sur les serveurs Exchange, c’est qu’elles mettent en évidence la situation catastrophique de l’informatique dans certaines entreprises, notamment les petites structures.
Le 2 mars dernier, Microsoft a publié des correctifs d’urgence pour 4 exploits zero day dans Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065). Suite à la découverte de l’attaque, les investigations de Microsoft ont révélé que l’acteur de la menace a utilisé ces vulnérabilités pour accéder aux serveurs Exchange sur site, ce qui a permis d’accéder aux comptes de messagerie et d’installer des logiciels malveillants supplémentaires pour faciliter l’accès à long terme aux environnements des victimes. Après cette première riposte, Microsoft vient de publier un outil d’atténuation tout-en-un, spécialement conçu pour les entreprises qui ne disposent pas de compétences en interne.
Sur la base de la victimologie, des tactiques et des procédures observées, le centre de renseignement Microsoft Threat Intelligence Center (MSTIC) a attribué cette campagne à HAFNIUM, un groupe parrainé par l’État chinois et opérant depuis la Chine. L’annonce de ces exploits ainsi que la publication sur Github d’un PoC Exploit ont entraîné une multiplication des attaques sur les serveurs Exchange. D’après les chercheurs de Check Point Research (CPR), qui ont comptabilisé les tentatives d’exploitation des vulnérabilités contre les organisations qu’ils suivent dans le monde entier, des milliers de tentatives d’exploitation contre ces organisations ont été observées. Ils ont compté une multiplication des attaques par dix, entre le 11 et le 15 mars, passant de 700 à plus de 7 200.
Le pays le plus attaqué est les États-Unis (17 % de toutes les tentatives d’exploitation), suivi par l’Allemagne (6 %), le Royaume-Uni (5 %), les Pays-Bas (5 %) et la Russie (4 %). Les secteurs industriels les plus ciblés ont été le gouvernement et l’armée (23 % de toutes les tentatives d’exploitation), suivi par l’industrie manufacturière (15 %), les services bancaires et financiers (14 %), les fournisseurs de logiciels (7 %) et le secteur de la santé (6 %).
Un outil destiné aux petites structures
Microsoft vient donc de publier un nouvel outil de correction en un clic baptisé Microsoft Exchange On-Premises Mitigation Tool, « pour aider les clients qui ne disposent pas d’équipes de sécurité ou d’équipes informatiques dédiées à appliquer ces mises à jour de sécurité », explique l’article de blog de l’équipe du Microsoft Security Response Center. L’outil est conçu pour permettre aux utilisateurs dans les petites et moyennes structures, dépourvues de compétences en interne, de corriger la vulnérabilité.
« Nous avons testé cet outil sur des déploiements d’Exchange Server 2013, 2016 et 2019. Ce nouvel outil est conçu comme une atténuation provisoire pour les clients qui ne sont pas familiers avec le processus de correctif/mise à jour ou qui n’ont pas encore appliqué la mise à jour de sécurité Exchange sur site », ont-ils ajouté. L’équipe de Microsoft ne dit rien des versions de serveurs antérieures à la version 2013, 2010 en l’occurrence, qui doivent être encore nombreux dans la nature.
La fin des serveurs dans les placards ?
Au-delà de son retentissement dans l’actualité, déjà très chargée, de la cybersécurité post-Covid-19, cette attaque met en évidence la réalité informatique ahurissante des petites structures. Que ce soit l’attaque sur Exchange ou celle sur Centreon, cette dernière ayant touché les utilisateurs d’une version qui n’était plus supportée depuis 2015, les petites structures ne peuvent plus ignorer les risques qui pèsent sur elles. L’utilisation de serveurs Exchange, encore très présents dans les « placards » des petites et moyennes structures, met en évidence la situation catastrophique de l’informatique dans ces organisations.
Ayant les yeux fixés sur les tendances de la transformation numérique, du cloud et des technologies de pointe comme la blockchain, l’IA, le ML et les microservices, nous avons oublié qu’une frange importante des entreprises en est restée au stade des serveurs départementaux et des applications sur site comme Office et Exchange. Le manque de compétences en interne, ainsi qu’une trésorerie incertaine, car soumise aux aléas du carnet de commandes, les ont maintenus dans un modèle informatique obsolète. Elles ont opté pour des solutions informatiques sur site et clé en main, payables en une seule fois et quelquefois comprenant des mises à niveau intégrées. Leur informatique finit immanquablement par ressembler à une passoire en termes de cybersécurité.
Ne voulant pas, par inconscience ou s’estimant trop insignifiantes pour intéresser les cybercriminels, ou n’ayant pas les moyens de payer des abonnements mensuels permanents, ce sont ces entreprises qui sont restées sur le bord de la route de l’immense transhumance vers les cloud et les abonnements as a service. Reste à savoir si la multiplication des incidents du genre Exchange et Centreon peut leur servir d’électrochoc.