Les sauvegardes et les correctifs qui corrigent les failles de sécurité sont l'un des problèmes les plus problématiques du secteur informatique depuis de nombreuses années. Et si les choses vont mieux avec les sauvegardes (même si l'anecdote sur les administrateurs système qui ne font pas ou font déjà de sauvegardes sera pertinente pendant longtemps), alors tout est triste avec la sécurité. L'histoire avec Garmin en est une autre confirmation.
Le financement résiduel, les espoirs de «chance» et d'autres facteurs conduisent à des fuites et des piratages réguliers. Mais les choses sont toujours là. Cloud4Y a plus d'une fois partagé des histoires amusantes sur les fuites de sécurité et les hacks . Et voici une autre histoire qui ne fait que confirmer l'inertie des entreprises dans un problème aussi important que la sécurité des données.
Quel est le problème
En février 2020, Microsoft a corrigé la vulnérabilité CVE-2020-0688 affectant les serveurs Microsoft Exchange. Cette vulnérabilité de sécurité est présente dans le composant Exchange Control Panel (ECP) et permet aux attaquants de détourner des serveurs Microsoft Exchange vulnérables en utilisant des informations d'identification de messagerie valides précédemment volées. Pour souligner l'importance du problème, la société a ajouté l'indicateur de vulnérabilité Exploitation Plus probable «L'exploitation est très probable», laissant entendre que la vulnérabilité est une cible attrayante pour les attaquants.
Un bug dangereux est lié au travail du composant ECP. Exchange ne peut pas générer de clés cryptographiques uniques pendant l'installation, ce qui donne aux attaquants qui passent l'étape d'authentification la possibilité d'exécuter à distance du code arbitraire avec les privilèges SYSTEM et de compromettre complètement le serveur vulnérable.
L'étape d'authentification elle-même, d'ailleurs, n'est pas non plus un problème. Les attaquants peuvent y accéder en utilisant des outils pour collecter des informations sur les employés de l'entreprise via LinkedIn. Et puis utilisez les informations collectées, associées au bourrage d'informations d'identification, contre Outlook Web Access (OWA) et ECP.
En février, des experts en sécurité ont averti qu'ils analysaient activement le réseau à la recherche de serveurs Microsoft Exchange vulnérables. Pour mener à bien l'attaque, il leur suffisait de localiser les serveurs vulnérables, de trouver des adresses e-mail pouvant être exploitées via l'URL du client Web OWA ou de collecter des données sur les fuites précédentes. Si un attaquant pouvait accéder au serveur Exchange, il pourrait divulguer ou usurper les messages électroniques d'entreprise.
Deux agences occidentales de sécurité de l'information, la NSA et la CISA, ont également émis des avertissements appelant à l'installation rapide du correctif CVE-2020-0688, citant des cas d'exploitation de cette vulnérabilité par des groupes de pirates.
J'ai bouilli et j'ai oublié
Mais, comme cela arrive souvent, non seulement tout le monde a prêté attention au battage médiatique (c). La plupart des entreprises ont ignoré la menace. Quelques mois plus tard, les sociétés de cybersécurité Rapid7 ont utilisé leur outil Web Project Sonar pour découvrir tous les serveurs Exchange publics sur Internet. Et les résultats étaient très tristes.
Ils ont constaté qu'au moins 357 629 (82,5%) des 433 464 serveurs Exchange sont toujours ouverts aux attaques exploitant la vulnérabilité CVE-2020-0688.
Certains des serveurs marqués par Rapid7 comme étant protégés contre les attaques pourraient encore être vulnérables car le correctif de Microsoft ne mettait pas à jour toutes les versions de système d'exploitation. Mais ce n'est pas tout. Les chercheurs ont trouvé près de 11000 serveurs exécutant Microsoft Exchange 2007 avec le logiciel End of Support (EoS), qui a mis fin au support en 2017, et 166000 serveurs exécutant Microsoft Exchange 2010, qui prendra fin en octobre 2020. Cerise sur le gâteau, près de 31 000 serveurs Microsoft Exchange 2010 sont connectés à Internet, qui n'ont pas été mis à jour depuis 2012, et 800 d'entre eux n'ont jamais été mis à jour.
Nous déciderons plus tard qui est à blâmer. Que faire?
De manière amiable, il faut non seulement installer des correctifs, mais aussi déterminer si les attaquants ont tenté d'exploiter la vulnérabilité. Étant donné que les attaquants doivent prendre le contrôle d'au moins un compte pour ce faire, tout compte associé à une tentative d'exploitation doit être considéré comme piraté.
Les comptes d'utilisateurs compromis qui ont été utilisés pour attaquer les serveurs Exchange peuvent être détectés en recherchant dans les journaux des événements Windows et IIS des éléments de charge utile codée, y compris le texte "Invalid viewstate" ou la chaîne "__VIEWSTATE" et "__VIEWSTATEGENERATOR" dans les requêtes de requête dans le chemin dans le répertoire / ecp.
La seule solution logique est d'installer des correctifs sur vos serveurs avant que les pirates les trouvent et compromettent complètement l'ensemble de votre réseau. Sinon, il peut être nécessaire de modifier tous les comptes d'utilisateurs et mots de passe volés.
Des liens de téléchargement pour les mises à jour de sécurité pour les versions concernées de Microsoft Exchange Server et les articles associés de la base de connaissances sont disponibles dans le tableau ci-dessous:
Version MS Exchange | Article | Pièce |
Correctif cumulatif 30 de Microsoft Exchange Server 2010 Service Pack 3 | 4536989 | Mise à jour de sécurité |
Mise à jour cumulative 23 de Microsoft Exchange Server 2013 | 4536988 | Mise à jour de sécurité |
Mise à jour cumulative 14 de Microsoft Exchange Server 2016 | 4536987 | Mise à jour de sécurité |
Mise à jour cumulative 15 de Microsoft Exchange Server 2016 | 4536987 | Mise à jour de sécurité |
Mise à jour cumulative 3 de Microsoft Exchange Server 2019 | 4536987 | Mise à jour de sécurité |
Mise à jour cumulative 4 de Microsoft Exchange Server 2019 | 4536987 | Mise à jour de sécurité |
N'oubliez pas la sécurité. Le manque de protection quelques mois après la sortie du patch est extrêmement triste.
Que pouvez-vous lire d'autre sur le blog Cloud4Y
→ L'intelligence artificielle chante la révolution
→ Quelle est la géométrie de l'Univers?
→ Avons-nous besoin de nuages dans l'espace
→ Œufs de Pâques sur les cartes topographiques de la Suisse
→ Lauréats du concours de startup Les Europas Awards 2020
Abonnez-vous à notre chaîne Telegram pour ne pas rater un autre article. Nous n'écrivons pas plus de deux fois par semaine et uniquement pour affaires. Soit dit en passant, nous avons récemment organisé un webinaire sur le calcul du TCO pour les projets informatiques, au cours duquel nous avons répondu à des questions urgentes. Si vous êtes intéressé - bienvenue!