Failles de sécurité de Microsoft Exchange Server

12.03.2021- Ces derniers jours, de nombreux communiqués ont signalé diverses vulnérabilités dans les serveurs Microsoft Exchange.  Le NCSC estime que des attaquants avaient exploité des failles de sécurité dans plusieurs centaines d’organisations en Suisse.  Maintenant, les criminels commencent à chiffrer à l’aide du rançongiciel "DoejoCrypt" les serveurs Microsoft Exchange précédemment compromis.  Nous recommandons vivement aux administrateurs de serveurs Exchange non seulement de les patcher immédiatement mais d’en vérifier l’intégrité.

Ces derniers jours, de nombreux communiqués ont signalé diverses vulnérabilités dans les serveurs Microsoft Exchange, qui ont été saisies sous les références suivantes:

CVE-2021-26855
CVE-2021-26857
CVE-2021-26858
CVE-2021-27065

Le NCSC n'a reçu que quelques rapports de serveurs infectés jusqu'à présent, mais estime que plusieurs centaines de systèmes sont concernés par cette vulnérabilité. 

Microsoft suppose que ces attaques proviennent d’un groupe chinois appelé «HAFNIUM». Cependant, divers autres pirates ont également tenté d’exploiter les failles de sécurité après que Microsoft les ait rendues publiques le 2 mars 2021.

Depuis la publication des mises à jour de sécurité par Microsoft, les infections ont fortement augmenté.

Le NCSC a informé le public via Twitter le 2 mars 2021 et via son site Internet. Les exploitants d’infrastructures critiques en Suisse ont été informés par le biais d’un portail spécifique. Le NCSC sait à présent que différents serveurs ont été infectés en Suisse. Il faut souligner que les vulnérabilités mentionnées plus haut concernent non seulement des serveurs Exchange permettant un accès OWA (Outlook Web Access) basé sur Internet, mais aussi des serveurs qui proposent d’autres services en «https://» (par ex. Active Sync ou Unified Messaging, carnet d’adresses hors ligne [OAB], etc.).

Des indices montrent que les attaquants ont commencé à exploiter les failles de sécurité très peu de temps après la révélation de leur existence par Microsoft le 2 mars 2021. Le NCSC est en train de recueillir des informations supplémentaires sur les vulnérabilités et les organisations concernées en Suisse et de les mettre à disposition. Si vous souhaitez recevoir des informations du NCSC et vous assurer que vous n’êtes pas concerné, nous vous recommandons d’appliquer la procédure décrite ci-dessous. Si vous n’avez pas les compétences techniques nécessaires, nous vous conseillons de faire immédiatement appel à des spécialistes externes.

Assurez-vous que les correctifs sont appliqués

Vérifiez si vos serveurs sont encore vulnérables ou si les correctifs de Microsoft ont bien été appliqués. Microsoft fournit aussi bien des modes d’emploi pour ces correctifs que des correctifs pour les anciens serveurs qui sont arrivés à la fin de leur cycle de vie (lien). Veuillez toutefois noter que, malgré la disponibilité des correctifs, les versions Exchange 2007 et 2010 ont atteint la fin de leur cycle de vie et doivent impérativement être remplacées par des produits plus récents.

Vous trouverez une description détaillée d’autres mesures techniques (en anglais) sur le site Internet de la division technique du NCSC (https://www.govcert.ch/blog/exchange-vulnerability-2021/).

Recommandations générales

Pour une meilleure protection des serveurs Exchange, le NCSC recommande de manière générale les mesures de sécurité suivantes:

  • Les serveurs Exchange ne doivent pas être directement accessibles depuis Internet. Installez un pare-feu pour applications Web (Web Application Firewall, WAF) ou placez un proxy de filtrage SMTP devant le serveur Exchange.
  • Établissez une procédure pour l’application immédiate des mises à jour de sécurité et veillez à ce que celles-ci puissent être effectuées en l’espace de quelques heures. Cela vaut surtout pour tous les systèmes directement accessibles depuis Internet.
  • Surveillez attentivement tous les fichiers journaux des serveurs Exchange, regroupez-les dans un SIEM (Security Information and Event Management) et vérifiez s’ils comportent des anomalies.
  • Mettez en place un système d’authentification à deux facteurs sur tous les systèmes et pour tous les utilisateurs.
  • Utilisez un cadre de gestion dédié pour l’accès à haut privilège aux serveurs Exchange.
  • Enregistrez tous les fichiers journaux Active Directory de manière centralisée et analysez-les régulièrement.
  • Augmentez la visibilité de vos terminaux en utilisant un outil EDR (Endpoint Detection and Response).

Dernière modification 12.03.2021

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/exchange-server.html