Failles Exchange : d’après Microsoft, 92% des serveurs sont protégés

En début de semaine, Microsoft a affirmé que 92% des serveurs Exchange on-premise et connecté à Internet, concernés par les vulnérabilités ProxyLogon, étaient désormais patchés et protégés.

Lorsque Microsoft a publié son correctif de sécurité le 2 mars 2021, il y avait 400 000 serveurs Exchange vulnérables aux failles ProxyLogon. Une semaine plus tard, le 9 mars 2021, il y avait encore environ 100 000 serveurs à patcher. Quelques jours plus tard, le 14 mars pour être précis, ce chiffre est tombé à 82 000 serveurs vulnérables. Désormais, d'après un graphique publié par RiskIQ, il en resterait moins de 30 000 : un chiffre encore important mais en constante diminution.

Pour rappel, ces quatre failles Zero-Day sont référencées avec les noms suivants :

  • CVE-2021-26855
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065

Pour les retardataires, vous pouvez récupérer le correctif à installer sur votre serveur Exchange sur le site de Microsoft : Correctif Exchange - Mars 2021

En complément, il faut savoir que Microsoft a mit à jour Microsoft Defender pour qu'il soit capable d'apporter un premier niveau de protection contre les failles ProxyLogon sur les serveurs Exchanges non patchés. Microsoft a également publié un outil à activer sur son serveur Exchange pour se protéger en attendant d'installer le correctif de sécurité.

Dans le même temps, nous apprenons qu'un autre ransomware exploite actuellement les failles ProxyLogon comme vecteur. Son petit nom : Black Kingdom. Une fois le serveur Exchange compromis, ce dernier est utilisé pour infecter les machines du réseau. Un script PowerShell permet de récupérer l'exécutable du ransomware sur le site "yuuuuu44[.]com". Les premières victimes de ce ransomware seraient basée dans les pays suivants : Etats-Unis, Canada, France, Russie, Suisse, Israël, Italie, Allemagne, Grèce, Australie, Autriche, Croatie, et Royaume-Uni.

Le piratage de la société Acer par le ransomware REvil pourrait également être lié à l'exploitation des failles ProxyLogon, tandis que le ransomware DearCry exploite ces failles depuis une dizaine de jours.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5504.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.