NPC Alertes de sécurité

English


Le piratage de Microsoft Exchange Server vous concerne-t-il?

March 16, 2021



Remarque spéciale à l’intention des clients de NPC

Si vous êtes un client de NPC et que nous fournissons votre service de courriel Exchange et gérons votre serveur, vous n’êtes pas visé par la présente menace et vous n’avez aucune mesure à prendre. NPC n’utilise que le service infonuagique hébergé par Microsoft qui n’est pas touché par ce code malveillant exploitant une faille de sécurité. En outre, les correctifs de sécurité des systèmes fournis par NPC sont appliqués dès qu’ils sont accessibles.

Si vous utilisez un service Microsoft Exchange qui n’est pas fourni par NPC, communiquez avec votre gestionnaire ou fournisseur pour confirmer que le correctif a été apporté au serveur que vous utilisez.


Note spéciale à tous les lecteurs concernant les problèmes d’authentification de connexion Microsoft d’hier

Au moment de rédiger cette alerte, hier, le 15 mars, Microsoft connaissait un autre problème technique. Dans certaines régions du monde, le système d’authentification de connexion de Microsoft pour la plupart des services en ligne, y compris Microsoft Office 365, était hors service en raison de l’échec d’une mise à niveau du système. Il ne s’agissait pas d’un incident de sécurité, mais cette situation a empêché les utilisateurs de se connecter et a rendu les services indisponibles. L’annonce de Microsoft diffusée à 8 h HE ce matin indiquait que la mise à jour a été retirée et que la plupart des systèmes fonctionnent maintenant normalement.


Quelle est la problématique?

Le 2 mars, Microsoft a publié des mises à jour d’urgence pour corriger quatre vulnérabilités signalées par Orange Tsai, un chercheur en sécurité. Ces vulnérabilités ont permis à des cybercriminels d’accéder à environ 250 000 serveurs Exchange d’organisations de tous types et de toutes tailles dans le monde entier. Le code malveillant permet d’accéder notamment aux courriels et aux calendriers d’une organisation et peut être utilisé comme passerelle vers l’ensemble du réseau d’entreprise. De plus, des détonations de rançongiciels d’entreprise ont été détectées à l’intérieur du pare-feu.

Il est important de noter que les codes malveillants ne touchent que les anciens serveurs Exchange locaux de 2013, 2016 et 2019, et n’ont aucune incidence sur les produits infonuagiques Exchange Online et Microsoft 365.

Certaines organisations continuent d’utiliser un serveur Microsoft Exchange local, car cela permet certaines configurations et fonctionnalités qui ne sont pas encore offertes ou réalisables dans les versions en nuage. Même si les solutions infonuagiques présentent de moins en moins de différences avec les solutions locales, le passage à l’hébergement en nuage peut nécessiter d’importantes modifications des processus opérationnels organisationnels. Dans d’autres cas, des contraintes budgétaires et de ressources de TI, ou une mauvaise conception de la sécurité en nuage peuvent expliquer la décision de conserver un serveur local.     

Le Centre de renseignements sur les menaces de Microsoft a d’abord identifié un réseau de cybercriminels du nom de Hafnium comme responsable du piratage. Depuis le premier signalement des vulnérabilités, au moins 10 opérations de piratage visant à exploiter les failles de sécurité ont été découvertes par ESET, une importante entreprise de prévention des cybermenaces. C’est la première fois qu’un si grand nombre de groupes de pirates informatiques disposent pratiquement simultanément du code et de la technique pour exploiter une faille de sécurité, ce qui pourrait indique un niveau de collusion ou d’implication d’États-nations qui augmenterait considérablement les conséquences mondiales de cette menace.

Des attaques sont en cours et s’intensifieront à mesure que les cybercriminels exploiteront de façon plus sophistiquée et automatisée les vulnérabilités d’Exchange Server. Il est donc important de suivre les pratiques exemplaires en matière de cybersécurité décrites ci-dessous.


Que dois-je faire?

Encore une fois, si vous êtes un client de NPC et que nous fournissons et gérons votre serveur Exchange, vous n’êtes pas touché.

Pour tous les autres :

  • Avant même d’appliquer des correctifs, les organisations doivent sauvegarder sans tarder toutes les données du serveur au moyen d’un service ou un serveur extérieur à leur réseau.

  • Microsoft encourage tous les clients ayant des serveurs Exchange locaux à appliquer immédiatement le correctif publié le 2 mars. Le correctif est également disponible pour le serveur 2010 qui n’est pas pris en charge.

  • Le Centre de renseignements sur les menaces de Microsoft a également publié d’autres techniques d’atténuation pour donner à ceux qui ont besoin de plus de temps pour appliquer les mises à jour et les correctifs immédiatement. L’adoption de techniques d’atténuation différentes constitue un risque et compromet la fonction de service; « l’application des correctifs est le seul moyen d’atténuer complètement des risques ».

  • Les professionnels des TI peuvent utiliser le site Check My OWA pour déterminer si leur adresse IP figure sur une liste de 86 000 adresses obtenues par des chercheurs en sécurité identifiant les organisations qui ont été compromises.

  • Comment savoir si je suis sur un serveur infonuagique Microsoft Exchange O365? En guise de test, si vous pouvez vous connecter à votre courriel par www.office.com, c’est que vous utilisez le service infonuagique Microsoft. Si la connexion à votre courriel est autre que par www.office.com, vous devriez vérifier auprès de votre fournisseur de messagerie par précaution.

Pour connaître d’autres pratiques exemplaires en cybersécurité, cliquez icicliquez ici.

Comme toujours, NPC surveillera la situation de près et fournira des renseignements sur les nouveautés importantes susceptibles de vous toucher.


Sources:

At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software — Krebs on Security

A Basic Timeline of the Exchange Mass-Hack — Krebs on Security

Exchange Server security patch warning: Apply now before more hackers exploit the vulnerabilities | ZDNet

Multiple Security Updates Released for Exchange Server – updated March 12, 2021 – Microsoft Security Response Center

There’s a vexing mystery surrounding the 0-day attacks on Exchange servers | Ars Technica

NPC Alertes de sécurité

Recevez les alertes de sécurité de NPC par courriel pour demeurer au fait des plus importantes menaces à la sécurité de vos appareils, de vos données et de votre vie privée. Nous n'utilisons cette liste à aucune autre fin.

Je m'inscris