Certaines entreprises n'ont pas les compétences en interne pour déployer le patch contre l'attaque ProxyLogon. Microsoft a donc créé un outil de protection, que n'importe qui peut installer.

Début mars, Microsoft avertissait les utilisateurs de son service d’email Exchange à propos de plusieurs vulnérabilités. Hafnium, un groupe de hackers affilié à la Chine exploitait quatre d’entre elles dans une chaîne d’attaque connue sous le nom ProxyLogon. L’objectif : s’infiltrer dans les communications des victimes pour récupérer de précieux renseignements. Microsoft invitait ses clients à déployer au plus vite un patch — une version mise à jour de Exchange sans les vulnérabilités — afin de se protéger.

Problème : l’annonce a déclenché un contre-la-montre entre les attaquants qui venaient de prendre connaissance de ProxyLogon et les organisations utilisatrices d’Exchange, pas toujours préparées pour patcher rapidement. Dans les jours qui ont suivi, les chercheurs ont identifié que 9 APT (des groupes de hackers à la solde d’un État), et au moins trois gangs de cybercriminels (dont un rançongiciel) ont attaqué les serveurs vulnérables.

Microsoft a une solution temporaire contre ProxyLogon pour ceux qui ne pourraient pas patcher. // Source : Microsoft

10 jours après son avertissement, Microsoft a tiré un bilan plutôt rassurant : il avait identifié 400 000 serveurs vulnérables, et il n’en restait plus que 82 000. Ce nombre reste cependant non négligeable, et amène une question : pourquoi les administrateurs de ces milliers de serveurs restants ne déploient-ils pas le patch ? Certains ne le font peut-être pas par négligence, mais Microsoft suppose que la majorité n’a tout simplement pas les compétences en interne pour le faire.

EOMT, pansement contre ProxyLogon

L’entreprise a donc publié un outil, nommé Exchange On-Premises Mitigation Tool (EOMT), « pour aider les clients qui n’ont pas d’équipe de sécurité ou d’informatique dédiée à l’application des mises à jour de sécurité ». Son utilisation est à la portée de n’importe qui : il suffit de le télécharger, puis de faire un double clic sur le fichier.

EOMT va déployer une protection contre une des quatre vulnérabilités de ProxyLogon, celle utilisée comme premier maillon de la chaîne d’attaque. Autrement dit, l’outil ne corrige pas la vulnérabilité, il en bloque simplement l’accès, et il ne répare pas non plus les trois autres. Il ne se substitue pas au patch, mais permet de protéger suffisamment le serveur Exchange en attendant le déploiement.

En plus de prévenir, EOMT agit aussi contre les dégâts déjà faits, car il embarque l’outil de vérification du groupe, Microsoft Safety Scanner. Ce dernier va détecter et supprimer les scripts (backdoor, webshells…) déjà installés par d’éventuels attaquants, afin de leur bloquer une fois pour toutes l’accès au serveur de la victime. De quoi ne plus entendre parler de ProxyLogon d’ici quelque temps ? Peut-être, mais encore faut-il que les organisations vulnérables aient conscience du danger auquel elles s’exposent.

Crédit photo de la une : CCO/piqsels

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux