Unité 42, l’entité de recherches sur les attaques informatiques de Palo Alto Networks, estime qu’il reste plus de 125 000 serveurs Exchange sans patch correctifs, et donc vulnérables à de nouvelles attaques Zero Day.
Il est à noter que Exchange on line n’est pas affecté.
Unité 42 avertit dans un article de blog ce matin que même les systèmes corrigés auraient pu être compromis parce que ces vulnérabilités étaient activement exploitées pendant au moins deux mois avant que les correctifs de sécurité ne soient disponibles.
Le 3 mars, un article de blog de Paolo Alto Networks Hunting for the Recent Attacks Targeting Microsoft Exchange , conseillait déjà « fortement » de « mettre à jour vers la dernière version du produit et du contenu, et de rechercher les menaces à l’aide des requêtes XQL fournies et des mécanismes de protection existants dans le produit. »
Comment déceler les vulnérabilités ?
Nous recommandons la lecture de cet article qui donne un certain nombre de pistes pour orienter les recherches de vulnérabilités . Entre autres :
-Cherchez les alertes provenant du process IIS, w3wp.exe et de l’exchange worker process, UMWorkerProcess.exe
-Cherchez les attaques utilisant la recherche (Search) XQL dans le Cortex XDR. Identifiez le webshell China Chopper en recherchant une ligne de commande utilisant : [s]&cd&echo [e]
Remédiation: les 4 étapes indispensables
L’article recommande quatre étapes que les organisations devraient suivre pour corriger les vulnérabilités et évaluer leur impact. Il s’agit de bonnes pratiques relevant du bon sens, mais dans cette situation critique, il est bon de les rappeler :
- Localisez tous les serveurs Exchanges et déterminez ceux qui doivent être patchés
- Patchez et sécurisez tous les serveurs Exchange. Installez les patches de sécurité out-of-band (les patches exceptionnels délivrés en dehors du cycle habituel).
- Déterminez quels serveurs Exchange ont été compromis
- Engagez une équipe de réponse à Incident si vous pensez que vos serveurs ont été compromis