En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Les tentatives d’attaque sur Microsoft Exchange ont augmenté de 170 % en août 2021

Publication: Septembre 2021

Partagez sur
 
Au mois d’août, le nombre d’utilisateurs attaqués par des exploits ciblant des vulnérabilités inhérentes aux serveurs Microsoft Exchange et bloqués par les solutions Kaspersky a augmenté de 170 % en passant de 7 342 à 19 839...
 

La France fait partie du top 10 des pays ciblés avec 845 utilisateurs uniques attaqués par de tels exploits en août. D’après les experts de Kaspersky, cette forte hausse tient à la recrudescence d’attaques qui tentent d’exploiter des vulnérabilités déjà divulguées, phénomène aggravé par le fait que les utilisateurs tardent à patcher les logiciels vulnérables, augmentant ainsi la surface d’attaque potentielle.

Les failles liées aux serveurs Microsoft Exchange ont causé beaucoup de dégâts cette année. Le 2 mars 2021, Microsoft a annoncé que des vulnérabilités de type zero-day liées au serveur Microsoft Exchange avaient pu être librement exploitées, occasionnant une vague d’attaques contre des entreprises du monde entier. Quelques mois plus tard, Microsoft a également patché un certain nombre de vulnérabilités de type ProxyShell (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207). Toutes ces failles représentent une menace critique, permettant aux hackers de contourner l’étape d’authentification pour exécuter un code avec le statut d’utilisateur privilégié. Si les correctifs nécessaires ont déjà été appliqués il y a quelque temps, les cybercriminels n’ont pas hésité à les exploiter, et 74 274 utilisateurs de solutions Kaspersky ont été visés par des tentatives d’exploits sur Microsoft Exchange au cours des six derniers mois.

Par ailleurs, comme le pressentait l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dans son avis du 21 août, les vulnérabilités de type ProxyShell sont désormais activement exploitées par les cyberpirates, ce que confirme une récente vague d’attaques. Dans sa recommandation du 26 août, Microsoft a expliqué que les serveurs Exchange étaient vulnérables lorsque leur mise à jour cumulative n’incluait pas la mise à jour de sécurité du mois de mai.

Nombre d’utilisateurs individuels victimes d’attaques sur Microsoft Exchange entre mars et août 2021

D’après les données de télémétrie de Kaspersky, plus de 1 700 utilisateurs par jour ont été visés par des exploits de type ProxyShell durant la dernière semaine d’août, ce qui explique la hausse de 170 % du nombre d’utilisateurs victimes d’attaques comparé au mois de juillet. Cela illustre tout le problème que posent ces vulnérabilités si elles ne sont pas patchées.

« Il n’est pas surprenant que ces vulnérabilités soient activement exploitées. Très souvent celles ayant été divulguées récemment et dont les correctifs ont été publiés par les développeurs représentent une menace encore plus grande, car elles deviennent accessibles à de nombreux cybercriminels qui tentent de les exploiter pour infiltrer un maximum de réseaux. Cette vague d’attaques démontre une fois de plus qu’il est essentiel de patcher les vulnérabilités le plus tôt possible pour éviter toute atteinte aux réseaux. Nous conseillons vivement de suivre les récentes recommandations émises par Microsoft afin de limiter les risques », déclare Evgeny Lopatin, chercheur en cybersécurité chez Kaspersky.

Les solutions Kaspersky permettent de se protéger face aux attaques exploitant les vulnérabilités ProxyShell grâce aux modules Détection comportementale et Prévention des exploits. Elles détectent également les exploits via les verdicts suivants :

- PDM:Exploit.Win32.Generic

- HEUR:Exploit.Win32.ProxyShell.*

- HEUR:Exploit.*.CVE-2021-26855.*

Pour se protéger face aux attaques exploitant les vulnérabilités en question, Kaspersky recommande d’adopter les mesures suivantes :

- Mettre à jour votre serveur Microsoft Exchange dès que possible

- Concentrer votre stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveiller tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Sauvegarder vos données régulièrement. Assurer vous de pouvoir rapidement y accéder en cas d’urgence.

- Utiliser des solutions telles que Kaspersy Endpoint Detection and Response et Kaspersky Managed Detection and Response pour anticiper et bloquer les attaques avant que les pirates n’arrivent à leurs fins.

- Utiliser une solution de protection des terminaux éprouvée, comme Kaspersky Endpoint Security for Business, qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes. Kaspersky Endpoint Security for Business intègre également un mécanisme d’auto-défense qui empêche les cybercriminels de la désinstaller.

https://www.kaspersky.fr/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: