D’après les experts de Kaspersky, cette forte hausse tient à la recrudescence d’attaques qui tentent d’exploiter des vulnérabilités déjà divulguées, phénomène aggravé par le fait que les utilisateurs tardent à patcher les logiciels vulnérables, augmentant ainsi la surface d’attaque potentielle.
Les failles liées aux serveurs Microsoft Exchange ont causé beaucoup de dégâts cette année. Le 2 mars 2021, Microsoft a annoncé que des vulnérabilités de type zero-day liées au serveur Microsoft Exchange avaient pu être librement exploitées, occasionnant une vague d’attaques contre des entreprises du monde entier. Quelques mois plus tard, Microsoft a également patché un certain nombre de vulnérabilités de type ProxyShell (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207). Toutes ces failles représentent une menace critique, permettant aux hackers de contourner l’étape d’authentification pour exécuter un code avec le statut d’utilisateur privilégié. Si les correctifs nécessaires ont déjà été appliqués il y a quelque temps, les cybercriminels n’ont pas hésité à les exploiter, et 74 274 utilisateurs de solutions Kaspersky ont été visés par des tentatives d’exploits sur Microsoft Exchange au cours des six derniers mois.
Par ailleurs, comme le pressentait l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans son avis du 21 août, les vulnérabilités de type ProxyShell sont désormais activement exploitées par les cyberpirates, ce que confirme une récente vague d’attaques. Dans sa recommandation du 26 août, Microsoft a expliqué que les serveurs Exchange étaient vulnérables lorsque leur mise à jour cumulative n’incluait pas la mise à jour de sécurité du mois de mai.
Nombre d’utilisateurs individuels victimes d’attaques sur Microsoft Exchange entre mars et août 2021
D’après les données de télémétrie de Kaspersky, plus de 1 700 utilisateurs par jour ont été visés par des exploits de type ProxyShell durant la dernière semaine d’août, ce qui explique la hausse de 170 % du nombre d’utilisateurs victimes d’attaques comparé au mois de juillet. Cela illustre tout le problème que posent ces vulnérabilités si elles ne sont pas patchées.
Evgeny Lopatin, chercheur en cybersécurité chez Kaspersky, déclare : « Il n’est pas surprenant que ces vulnérabilités soient activement exploitées. Très souvent celles ayant été divulguées récemment et dont les correctifs ont été publiés par les développeurs représentent une menace encore plus grande, car elles deviennent accessibles à de nombreux cybercriminels qui tentent de les exploiter pour infiltrer un maximum de réseaux. Cette vague d’attaques démontre une fois de plus qu’il est essentiel de patcher les vulnérabilités le plus tôt possible pour éviter toute atteinte aux réseaux. Nous conseillons vivement de suivre les récentes recommandations émises par Microsoft afin de limiter les risques »
Les solutions Kaspersky permettent de se protéger face aux attaques exploitant les vulnérabilités ProxyShell grâce aux modules Détection comportementale et Prévention des exploits. Elles détectent également les exploits via les verdicts suivants :
- PDM:Exploit.Win32.Generic
- HEUR:Exploit.Win32.ProxyShell.*
- HEUR:Exploit.*.CVE-2021-26855.*
Pour se protéger face aux attaques exploitant les vulnérabilités en question, Kaspersky recommande d’adopter les mesures suivantes :
- Mettre à jour votre serveur Microsoft Exchange dès que possible
- Concentrer votre stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveiller tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Sauvegarder vos données régulièrement. Assurer vous de pouvoir rapidement y accéder en cas d’urgence.
- Utiliser des solutions telles que Kaspersy Endpoint Detection and Response et Kaspersky Managed Detection and Response pour anticiper et bloquer les attaques avant que les pirates n’arrivent à leurs fins.
- Utiliser une solution de protection des terminaux éprouvée, comme Kaspersky Endpoint Security for Business, qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes. Kaspersky Endpoint Security for Business intègre également un mécanisme d’auto-défense qui empêche les cybercriminels de la désinstaller.
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers.
Source : Kaspersky
Et vous ?
Que pensez-vous de ce rapport ? est-il pertinent ?
Les attaques sur Microsoft Exchange sont-elles courantes au sein de votre entreprise ?
Voir aussi :
Kaspersky dévoile les 3 méthodes les plus courantes de compromission d'e-mails professionnels, notamment la fraude au Président, le faux changement de coordonnées bancaire, et la fausse facture
Atteinte à la vie privée et rencontres en ligne : en France, 10 % des utilisateurs d'applications de rencontre ont été victimes de divulgation de données personnelles (doxing), selon Kaspersky
38 % des utilisateurs français d'applications de rencontres feraient confiance à l'IA pour leur trouver un partenaire compatible, selon une étude de Kaspersky