Sauter la navigation

Vulnérabilités de Microsoft Exchange : une menace constante

9 avril 2021

Au cours des dernières semaines, des cyberattaquants ont cherché à exploiter des vulnérabilités que Microsoft a détectées dans ses serveurs Exchange. Ces attaques ont initialement été menées par un groupe de piratage informatique connu sous le nom de « HAFNIUM », et elles ont depuis touché des utilisateurs de Microsoft à l’échelle mondiale. De plus, Microsoft a détecté un nouveau groupe de rançongiciels, connu sous le nom de « DearCry », qui ont été déployés dans la foulée de l’atteinte initiale visant les serveurs Exchange.

En guise de protection contre les attaques futures, Microsoft recommande aux organisations de cerner et de mettre à jour les serveurs Exchange vulnérables se trouvant dans leurs locaux, de même que de suivre immédiatement son avis relatif à l’atténuation et à l’enquête à cet effet.

Au début du mois de mars, quatre problèmes touchant Microsoft Exchange ont été décelés. Ces quatre vulnérabilités critiques sont une falsification de requête côté serveur (CVE-2021-26855) permettant à des cyberattaquants de s’authentifier en tant que serveur Exchange, un service de messagerie unifiée (CVE-2021-26857) permettant d’exécuter un code en tant que SYSTÈME et deux vulnérabilités d’écriture de fichier arbitraire post-authentification (CVE-2021-26858 et CVE-2021-27065) permettant aux cyberattaquants d’écrire un fichier sur n’importe quel chemin sur le serveur. Après avoir exploité ces vulnérabilités, les cyberattaquants déploient un code encoquillé (web shell) afin d’obtenir le contrôle à distance du serveur. Le code encoquillé peut ensuite mener à des vols de données et à d’autres activités malveillantes.

Depuis le premier signalement de ces vulnérabilités, Microsoft a agi rapidement et indiqué que plus de 92 % des adresses IP connues de serveurs Exchange dans le monde ont fait l’objet de correctifs ou de mesures d’atténuation. Cependant, Microsoft reconnaît que l’apport de correctifs à un système ne coupe pas nécessairement l’accès d’un cyberattaquant à un ou à plusieurs comptes particuliers. De plus, il est possible que l’exploitation de ces vulnérabilités ne soit pas ressentie immédiatement puisque les cyberattaquants procèdent à l’installation de codes encoquillés de la façon la plus large possible à des fins d’exploitations ultérieures. Les organisations devraient demeurer extrêmement prudentes et suivre l’avis de Microsoft afin d’atténuer les conséquences de telles attaques.

Pour en savoir davantage, communiquez avec :

Sunny Handa                 514-982-4008
Allison Sibthorpe           514-982-6315

ou un autre membre de notre groupe Cybersécurité.

Plus de ressources