92 % des serveurs Microsoft Exchange initialement vulnérables à l'attaque ProxyLogon y sont désormais insensibles. C'est un chiffre extrêmement rare, notamment seulement trois semaines après que Microsoft a rendu l'attaque publique.

Rarement les victimes potentielles d’une cyberattaque auront réagi si rapidement. Le 2 mars, Microsoft a révélé l’existence d’une chaîne de quatre vulnérabilités dans Exchange, un logiciel utilisé par des centaines de milliers d’organisations pour gérer leurs emails et leurs plannings. Ces failles permettent de lancer une cyberattaque nommée ProxyLogon, que les hackers utiliseront pour générer une interface appelée « web shell » et manipuler le gestionnaire d’email à leur guise.

En même temps que son avertissement, Microsoft a publié un patch, une mise à jour destinée à colmater les quatre failles d’Exchange. Ce faisant, il a lancé un contre-la-montre entre les responsables des serveurs vulnérables, et les attaquants qui voulaient trouver un moyen rapide d’exploiter cette nouvelle faille. Cette course tourne le plus souvent à l’avantage des malfaiteurs, mais cette fois, les défenseurs peuvent se féliciter.

Le 23 mars, trois semaines après son annonce, Microsoft a tiré un bilan exceptionnel : 92 % des 400 000 serveurs vulnérables ont été patchés, ou ont au moins déployé une rustine temporaire, mais efficace. Ce sont autant de serveurs désormais imperméables à ProxyLogon, et il ne reste plus « que » 30 000 serveurs vulnérables à l’attaque.

The Record Media note que la Maison-Blanche, par le biais de la conseillère Anne Neuberger déjà en charge du dossier SolarWinds, s’attribue une large part de responsabilité dans cette réussite. L’administration Biden aurait mis la pression sur Microsoft pour réduire au maximum le nombre de serveurs vulnérables.

92 % de serveurs protégés après seulement 3 semaines

Pour comprendre ce nombre exceptionnel, il faut avoir en tête que déployer un patch sur un réseau informatique de taille conséquente n’est pas aussi simple que de lancer une mise à jour sur son PC. Il faut une certaine organisation, et certaines compétences en interne, qu’il manque parfois aux petites organisations.

Microsoft a publié une rustine contre ProxyLogon, utilisable par n’importe qui. // Source : CCO/piqsels

Afin de combler ce manque, Microsoft a publié un outil capable d’agir comme rustine contre ProxyLogon, en attendant un déploiement du patch. Cet outil est utilisable sans compétences en informatique, et exécutable en quelques clics. Et en plus, il détecte et nettoie les éventuels dégâts causés par des malfaiteurs qui auraient déjà exploité la faille. Le géant de l’informatique est même allé plus loin et a intégré des protections contre la cyberattaque aux mises à jour automatiques de son antivirus Microsoft Defender.

À titre de comparaison, The Record Media rappelle qu’un autre bug critique de Microsoft Exchange (CVE-2020-0688), découvert en février 2020, n’était patché que sur 39 % des serveurs vulnérables 6 mois plus tard. Autre exemple, sur une attaque plus grand public : 1,7 million d’appareils étaient encore vulnérables au terrible WannaCry, deux ans après la publication de correctifs pour s’en protéger.

Une réaction exceptionnellement rapide, mais trop lente

Plus généralement, les cybercriminels, à commencer par les redoutés gangs rançongiciels, exploitent des failles connues dans leurs cyberattaques. Concrètement, les hackers analysent les versions des logiciels utilisés par leurs cibles, et si un d’entre eux n’est pas à jour, ils cherchent quelles vulnérabilités connues ils pourront exploiter. Ils n’ont plus qu’à télécharger gratuitement ou acheter des outils déjà éprouvés pour exploiter ces failles, et s’introduire chez leurs victimes. Il est très rare qu’ils aient connaissance d’une « zero day », une de ces failles inconnues de l’éditeur du logiciel.

Malgré le bilan positif de la réaction contre ProxyLogon, plusieurs organisations ont profité de la fuite pendant plusieurs jours : pas moins de dix APT, ces groupes de hackers à la solde d’États, deux gangs rançongiciels, et des organisations de cryptominining. Autrement dit, en plus des mesures de préventions, certaines organisations devront aussi faire du nettoyage à la recherche de traces laissées par d’éventuels intrus.

Article publié initialement le 24 mars 2021 et mis à jour le 03 octobre 2021

Crédit photo de la une : Captain America : The First Avenger (2011)

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux