Ce mardi 2 mars 2021, Microsoft a révélé que les hackers du groupe Hafnium sont parvenus à exploiter des failles repérées dans l’infrastructure d’Exchange, la messagerie professionnelle ou scolaire. Ce groupe de pirates opère depuis la Chine via des VPN loués sur le sol américain. Ce n’est pas la première fois que les cyber-espions s’attaquent à des organismes aux Etats-Unis, avance Microsoft. Afin de protéger les utilisateurs de la messagerie Exchange, Microsoft a rapidement déployé des correctifs. Mais quel sont ils ? Et comment procéder ? On vous explique.
Quelles sont les versions concernées par les correctifs ?
Pour l’instant, Microsoft n’a aucune preuve que ses clients directs ont été touchés. Seules les entreprises ayant créé leurs propres serveurs Exchange semblent vulnérables. Les versions 2013, 2016 et 2019 de Microsoft Exchange sont les seules concernées, si vous disposez de Microsoft Exchange Online pas de panique, vous ne risquez rien. La version de mise à jour de sécurité contient des correctifs pour sept vulnérabilités de sécurité affectant Exchange Server. Parmi celles-ci, quatre vulnérabilités étaient connues pour avoir été utilisées dans des attaques ciblées limitées contre des serveurs Exchange sur site.
Quelles sont les procédures à effectuer ?
Pour corriger ces vulnérabilités, vous devez passer aux dernières mises à jour cumulatives d’Exchange, puis installer les mises à jour de sécurité appropriées sur chaque serveur Exchange. Les administrateurs Exchange doivent prendre en compte le temps supplémentaire nécessaire pour mettre à jour les serveurs Exchange obsolètes.
- Vous pouvez utiliser le script Exchange Server Health Checker, qui peut être téléchargé à partir de GitHub (utilisez la dernière version).
- L’exécution de ce script vous indiquera si vous êtes en retard sur vos mises à jour locales d’Exchange Server (notez que le script ne prend pas en charge Exchange Server 2010).
- Nous recommandons également que votre équipe de sécurité évalue si les vulnérabilités ont été exploitées ou non en utilisant les indicateurs de compromission.
Où trouver d’autres informations complémentaires ?
Microsoft à mis en plus plusieurs pages de conseils et d’aides selon vos problèmes. En voici une liste :
- Microsoft On the Issues blog
- Microsoft Security Response Center (MSRC) release – Multiple Security Updates Released for Exchange Server
- Exchange Team Blog
- MSTIC Blog
- MSRC Blog
- Microsoft On the Issues Blog
- Out of Band Exchange Release Customer Alert
- Security Update Guide