Patching et Monitoring

Microsoft a insisté aujourd'hui auprès de ses clients pour qu'ils maintiennent leurs "serveurs Exchange sur site" patchés en appliquant la dernière mise à jour cumulative (CU) prise en charge afin qu'ils soient toujours prêts à déployer une mise à jour de sécurité d'urgence.

Tony Redmond, le MVP de Microsoft (Most Valuable Professional), affirme que le processus de mise à jour du serveur Exchange est "simple" et recommande de toujours exécuter le script Exchange Server Health Checker après l'installation des mises à jour.

Le script Exchange Server Health Checker aide à détecter les problèmes de configuration courants qui sont connus pour causer des problèmes de performance et d'autres problèmes de longue durée qui sont causés par un simple changement de configuration dans un environnement Exchange. Il permet également de collecter des informations utiles sur votre serveur afin d'accélérer le processus de collecte des informations courantes sur votre serveur.

Les vulnérabilités Exchange toujours d'actualité

L'avertissement d'aujourd'hui survient après que Microsoft a également demandé aux administrateurs de patcher continuellement les serveurs Exchange sur site après avoir publié des mises à jour de sécurité hors bande d'urgence pour corriger les vulnérabilités ProxyLogon qui ont été exploitées dans des attaques deux mois avant la publication des correctifs officiels.

En mars 2021, au moins dix groupes de pirates utilisaient les exploits ProxyLogon à des fins diverses, l'un d'entre eux étant un groupe de menaces sponsorisé par la Chine et suivi par Microsoft sous le nom de Hafnium.

Pour montrer le nombre considérable d'organisations exposées à de telles attaques, l'Institut néerlandais pour la divulgation des vulnérabilités (DIVD) a trouvé 46 000 serveurs non protégés contre les vulnérabilités ProxyLogon une semaine après la publication des mises à jour de sécurité de Microsoft.

Plus récemment, en novembre 2022, Microsoft a corrigé une autre série de bugs Exchange connus sous le nom de ProxyNotShell, qui permettent l'escalade des privilèges et l'exécution de code à distance sur des serveurs compromis, deux mois après la première détection d'une exploitation sauvage.

Pour mettre les choses en perspective, au début du mois, les chercheurs en sécurité de la Shadowserver Foundation ont découvert que plus de 60 000 serveurs Microsoft Exchange exposés en ligne sont toujours vulnérables aux attaques exploitant les exploits ProxyNotShell ciblant la vulnérabilité CVE-2022-41082 d'exécution de code à distance (RCE).

Pour aggraver les choses, une recherche sur Shodan montre un nombre considérable de serveurs Exchange exposés en ligne, dont des milliers attendent encore d'être sécurisés contre les attaques ciblant les failles ProxyShell et ProxyLogon, parmi les vulnérabilités les plus exploitées en 2021/2022.