Réaction à la faille 0-day de Microsoft Exchange
Le 6 mars, Microsoft a signalé des brèches dans le logiciel Microsoft Exchange. IONOS avait déjà appris l’existence de cette vulnérabilités le 3 mars et a immédiatement appliqué les mises à jour fournies par Microsoft à tous les systèmes Exchange qu’il exploitait lui-même afin de l’éliminer. Les systèmes IONOS n’ont pas été affectés par la vague d’attaques.
Dans cette interview avec l’ingénieur principal d’Exchange, John Barnes, nous essayons de répondre aux questions les plus importantes sur le sujet.
Question : Quand avez-vous découvert la vulnérabilité, et que s’est-il passé ?
Nous avons découvert la vulnérabilité très tôt dans la matinée du 3 mars et nous avons immédiatement commencé à évaluer quels serveurs devaient être corrigés et à répartir le travail au sein de l’équipe pour accélérer le processus de correction.
Nous avons immédiatement su que cette mise à jour était très importante, car il est rare que Microsoft publie des correctifs en dehors de son rythme mensuel standard. Dès que nous sommes entrés dans les détails des vulnérabilités et que nous avons compris les ramifications techniques, il est devenu évident que ce correctif devait être appliqué le plus rapidement possible.
Question : Quelles mesures ont été prises et en combien de temps les avez-vous mises en place ?
Nous développons nos plateformes avec une quantité importante de redondance, de sorte que dans des circonstances telles que celles-ci, nous sommes en mesure de patcher nos plateformes pendant les heures de bureau sans causer de perte de service pour nos clients. Dans la mesure du possible, cela nous permet également d’automatiser le processus de correction, de sorte qu’une grande partie de nos serveurs avaient déjà installé le correctif avant le début de la journée.
Pour les autres parties de notre plateforme, nous avons commencé à appliquer les correctifs par étapes, en déplaçant la charge de travail entre les serveurs afin d’éviter une interruption de service. Cela a duré presque toute la journée de mercredi, en donnant la priorité aux parties de la plateforme qui nous semblaient les plus vulnérables. Nous avons également fait preuve de vigilance en recherchant toute activité suspecte sur nos plateformes.
Alors que le travail de correction était en cours, nous avons également rejoint un appel de Microsoft concernant la mise à jour et nous nous sommes organisés avec l’équipe de sécurité IONOS pour nous assurer que l’information était transmise à l’ensemble de l’entreprise. L’appel de Microsoft a été particulièrement instructif car l’accent a été mis sur les patchs et non sur l’atténuation de l’exploit par d’autres moyens.
Une fois le processus de correction terminé, nous nous sommes concentrés sur la recherche d’indicateurs de compromission. Il s’agit d’un processus long en raison de la taille de nos plateformes et de l’importance que nous accordons à ces vulnérabilités ; nous avons donc consacré plusieurs jours à ce processus d’analyse.
Question : Quelle est la priorité absolue dans un tel cas ?
La priorité absolue est de corriger la vulnérabilité le plus rapidement possible, ce qui peut parfois être difficile avec des systèmes critiques pour l’entreprise, comme les messageries. Dans des cas comme celui-ci, où la faille peut être très dangereuse, il peut être nécessaire de provoquer une interruption de service afin de déployer le patch plus rapidement.
Question : Comment faites-vous pour rester à jour face à de telles menaces ?
En tant qu’hébergeur, nous sommes prêts à réagir rapidement et de manière décisive à ces « incidents ». Comme il s’agit d’une activité quotidienne, nous disposons des contacts et des informations nécessaires pour être informés le plus rapidement possible, souvent avant les communiqués publiques.
Nos processus sont hautement automatisés et gérés, ce qui nous permet de réagir rapidement et d’exploiter des plateformes à l’échelle mondiale, avec géo-redondance, ce qui signifie que les mises à jour peuvent être appliquées sans interruption d’activité. En tant qu’hébergeur, nous gérons des plateformes Exchange hébergées à l’échelle mondiale depuis 2010 et nous avons une expérience inégalée au-delà de Microsoft. Nous comprenons que ces choses arrivent, et c’est la façon dont vous réagissez qui compte ici.
Question : Qui peut être affecté, quels types d’utilisateurs sont les plus à risque ?
Je pense que les entreprises les plus exposées sont les petites entreprises qui utilisent des serveurs Exchange sur site et qui n’ont pas nécessairement les ressources nécessaires pour suivre le calendrier trimestriel des mises à jour cumulatives de Microsoft.
Lorsque Microsoft a initialement publié les mises à jour, elles n’étaient disponibles que pour les deux dernières mises à jour cumulatives de chaque version d’Exchange, ce qui signifie que les entreprises qui n’étaient pas à jour devaient installer les dernières mises à jour cumulatives avant de pouvoir corriger la vulnérabilité. Ce processus peut s’avérer beaucoup plus complexe que la simple installation d’une mise à jour de sécurité pour Exchange et prend beaucoup plus de temps, ce qui augmente l’exposition de l’entreprise à cette vulnérabilité.
Question : Avez-vous des recommandations, par exemple des outils pour détecter les serveurs vulnérables ?
Pour cette vulnérabilité spécifique : Microsoft recommande ce HealthCheck pour connaître le niveau de correctif de vos serveurs et déterminer si vous devez les mettre à jour. Il se peut notamment que Microsoft Update n’indique pas que vous avez une mise à jour en attente si vos serveurs Exchange ne sont pas patchés à la dernière mise à jour cumulative. Le script Test-ProxyLogon est un script Microsoft qui vous aidera à identifier tout indicateur de compromission.
En général, j’ai trouvé que le scanner de vulnérabilité Nessus était particulièrement efficace pour identifier les vulnérabilités et les serveurs non patchés.
Question : En cas d’incident, quelles sont les conséquences possibles pour les organisations touchées ?
Cet exploit était particulièrement grave, un exploit de type « exécution de code à distance non authentifiée en tant que système ». Il est particulièrement dangereux dans ce cas, car les serveurs Microsoft Exchange disposent généralement d’un haut niveau de privilège sur l’Active Directory, qui est le principal système d’authentification et d’autorisation pour les systèmes Windows dans une entreprise.
Cela signifie que les risques pour l’entreprise sont extrêmement élevés, avec une possibilité importante de vol/destruction des données de l’entreprise, de perte de capacité de fonctionnement, etc. Il est difficile de minimiser l’impact possible pour l’entreprise si un hacker parvenait à exploiter cette vulnérabilité.
Question : Existe-t-il encore des risques maintenant que toutes les mesures ont été prises ?
Je pense qu’il est toujours difficile de donner un « feu vert » définitif avec ce genre de vulnérabilités. Nous avons effectué tous les scans, sur la base des informations actuellement fournies par Microsoft, et nous n’avons rien remarqué de notable, mais un hacker malveillant et vraiment doué peut rendre très difficile la détection d’une compromission.
Plusieurs sources d’information ont révélé que ces vulnérabilités spécifiques avaient été identifiées pour la première fois début janvier et signalées de manière transparente à Microsoft. Fin février, des attaques plus étendues ont été identifiées juste avant que Microsoft ne publie les correctifs. Cela signifie qu’il y a un délai important pour la mise en œuvre de l’exploit initial.
Question : Quelle est l’estimation de l’impact ?
Je pense que cela peut amener les entreprises à réévaluer leur choix de continuer à héberger leurs systèmes de messagerie sur site et le coût réel de leur maintenance par rapport à l’hébergement de ces systèmes essentiels pour l’entreprise chez un fournisseur de services Cloud de confiance.
Plus d’informations :
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/