En janvier 2021, plusieurs cyberattaques mondiales ont ciblé les vulnérabilités des versions 2010, 2013, 2016 et 2019 de Microsoft Exchange Server. La vulnérabilité Exchange Server ProxyLogon permet aux pirates de lire les e-mails d'un serveur Exchange physique sur site sans authentification. De plus, elle ouvre la voie à des attaques en plusieurs étapes qui peuvent compromettre complètement le serveur de messagerie de la victime en exploitant d'autres vulnérabilités.
Microsoft a publié des mises à jour le 2 mars 2021 pour corriger ces vulnérabilités. Cependant, dix jours plus tard, l'entreprise a annoncé qu'un ransomware avait été déployé sur les serveurs initialement infectés. Le ransomware a crypté les fichiers et les a rendus inutilisables jusqu'à ce que le paiement soit reçu. En fait, plusieurs organisations touchées par la vulnérabilité d'Exchange Server, telles que l'ACER, les écoles publiques de Buffalo et la Molson Coors Beverage Company, ont signalé des attaques ultérieures du ransomware REvil.
Naturellement, cette attaque très sophistiquée peut soulever des questions quant à savoir si la vulnérabilité d'Exchange Server pourrait finalement avoir un impact sur votre entreprise par l'intermédiaire de ses fournisseurs, prestataires et autres tiers.
| Question | Réponses potentielles |
|---|---|
| 1) L'organisation a-t-elle été touchée par la récente vulnérabilité ProxyLogon de Microsoft Exchange ?
(Veuillez sélectionner une option) |
a) Oui, nous avons été touchés par la récente vulnérabilité ProxyLogon de Microsoft Exchange.
b) Non, nous n'avons pas été affectés par la récente vulnérabilité ProxyLogon de Microsoft Exchange. c) L'organisation ne sait pas si elle a été affectée par la récente vulnérabilité ProxyLogon de Microsoft Exchange. |
| 2) L'organisation a-t-elle mis en œuvre les correctifs récemment publiés par Microsoft pour les systèmes concernés ?
(Veuillez sélectionner une option) |
a) Oui, l'organisation a obtenu, testé et installé avec succès les correctifs publiés par Microsoft.
b) Non, l'organisation n'a pas encore obtenu, testé et installé les correctifs publiés par Microsoft. c) L'organisation n'est pas en mesure d'installer les mises à jour fournies par Microsoft. |
| 3) Si l'organisation n'est pas en mesure d'installer les mises à jour recommandées, les mesures suivantes ont-elles été prises sur la base des mesures d'atténuation des vulnérabilités serveur proposées par Microsoft ?
(Veuillez sélectionner toutes les réponses qui s'appliquent) |
a) Mettre en œuvre une règle de réécriture IIS pour filtrer les requêtes https malveillantes.
b) Désactivez la messagerie unifiée (UM). c) Désactivez le VDir du panneau de configuration Exchange (ECP). d) Désactivez le répertoire de distribution hors ligne (OAB) VDir. e) L'organisation n'est pas en mesure d'appliquer les mesures d'atténuation recommandées par Microsoft. |
| 4) Si l'organisation n'est pas en mesure d'installer les mises à jour recommandées ou d'appliquer les mesures d'atténuation recommandées par Microsoft, les mesures suivantes ont-elles été prises ?
(Veuillez sélectionner toutes les réponses qui s'appliquent) |
a) Bloquer les connexions non fiables au port 443 du serveur Exchange.
b) Lorsque des solutions d'accès distant sécurisé sont déjà en place, configurer Exchange pour qu'il soit uniquement accessible à distance via cette solution. |
| 5) L'organisation a-t-elle recherché de manière proactive des preuves de compromission dans ses systèmes, conformément aux recommandations de Microsoft ?
(Veuillez sélectionner toutes les réponses qui s'appliquent) |
a) L'organisation utilise le document « Guidance for responders: Investigating and remediating on-premises Exchange Server vulnerabilities » (Guide à l'intention des intervenants : enquête et correction des vulnérabilités du serveur Exchange sur site) pour faciliter les activités de correction.
b) L'organisation a installé l'outil Microsoft Exchange On-premises Mitigation Tool (EOMT) afin d'identifier les systèmes présentant des signes de compromission. c) L'organisation a consulté le document consultatif TLP WHITE publié par la CISA et le FBI afin d'approfondir l'enquête et d'atténuer les vulnérabilités. |
| 6) L'organisation dispose-t-elle d'un plan d'enquête et de réponse en cas d'incident ?
(Veuillez sélectionner toutes les réponses qui s'appliquent) |
a) L'organisation dispose d'une politique de gestion des incidents documentée.
b) La politique de gestion des incidents comprend des règles pour le signalement des événements et des faiblesses en matière de sécurité de l'information. c) Un plan d'intervention en cas d'incident est élaboré dans le cadre de l'enquête sur l'incident et de la récupération. d) La planification de la réponse aux incidents comprend des procédures d'escalade vers les parties internes et des procédures de communication avec les clients. |
| 7) Qui est désigné comme point de contact pour répondre aux questions supplémentaires ? | Nom : Titre : E-mail : Téléphone : |
| 8) Quel est le niveau d'impact sur les systèmes et les données des clients suite à cette vulnérabilité ?
(Veuillez sélectionner une option) |
a) Cette vulnérabilité n'a eu aucun impact sur les systèmes ou les données des clients.
b) Cette vulnérabilité a eu un faible impact sur les systèmes ou les données des clients. c) Cette vulnérabilité a un impact important sur les systèmes ou les données des clients. d) Cette vulnérabilité a eu un impact significatif sur les systèmes ou les données des clients. |
Trois niveaux de couverture pour garder une longueur d'avance sur les violations commises par des tiers
La vulnérabilité Microsoft Exchange ProxyLogon nous rappelle qu'il est important de mettre en place plusieurs niveaux de détection, à la fois proactifs et réactifs, pour atténuer l'impact des attaques visant vos tiers. Voici les trois niveaux de couverture que nous considérons comme essentiels :
1. Surveiller les divulgations de violations par des tiers
La mise en place d'une surveillance continue des divulgations de violations par des tiers, des actualités et des dépôts réglementaires et juridiques est une première étape importante, car elle fournit des indicateurs qualitatifs d'une éventuelle compromission. Cependant, le simple fait de surveiller les sites d'information, les publications sur les réseaux sociaux ou de recevoir des mises à jour quotidiennes via un flux RSS ne vous permettra pas de quantifier ou d'analyser l'impact de ces annonces ni d'agir en conséquence. C'est pourquoi il est important de rechercher des informations qualitatives auprès d'un service centralisé qui regroupe des centaines de milliers de sources publiques et privées et vous permet de regrouper les données dans un registre des risques unifié.
2. Surveiller les autres indicateurs de cyberattaques
La recherche de vulnérabilités sur les sites Web publics des fournisseurs ne révélera qu'une petite partie des risques auxquels ils (et donc vous) êtes exposés. Allez plus loin en surveillant les forums criminels, les pages onion, les forums à accès spécial du deep dark web, les flux de menaces, les sites de partage de données pour les identifiants divulgués, ainsi que les communautés de sécurité, les référentiels de code et enfin les bases de données de vulnérabilités. Comme indiqué ci-dessus, il est toutefois trop complexe et trop long de surveiller cette activité par vous-même, même en vous limitant à vos fournisseurs de premier plan. Centralisez plutôt cette activité dans un service unique qui surveille les informations relatives à la cybersécurité et peut automatiquement déclencher des mesures correctives en fonction des résultats.
3. Compléter les évaluations ponctuelles par une réponse rapide
SolarWinds, Accellion et maintenant Microsoft Exchange. Les incidents de sécurité très médiatisés et les violations préjudiciables affectant des tiers sont en augmentation. Pourtant, de nombreuses organisations ont du mal à obtenir des notifications en temps opportun de la part de leurs fournisseurs. Cela peut retarder l'identification et l'atténuation des risques et, en fin de compte, entraîner une exposition indésirable. Pourquoi ? Les approches existantes en matière de notification des événements par les fournisseurs sont très manuelles, n'offrent pas aux tiers la possibilité de quantifier leur risque ou de fournir un contexte significatif à l'incident, et ne fournissent pas de conseils prescriptifs pour lancer le processus d'atténuation des risques.
Comment votre organisation peut-elle aider vos fournisseurs à accélérer le processus de notification des incidents ? Évaluez vos fournisseurs à l'aide d'un questionnaire personnalisable qui se déclenche automatiquement en cas d'incident, leur permet de soumettre de manière proactive des évaluations et leur fournit des conseils correctifs prescriptifs afin d'identifier et d'atténuer rapidement l'impact d'un incident de sécurité.
Tout cela n'est pas possible en consultant les fils d'actualité ou en échangeant des feuilles de calcul par e-mail. Les plateformes d'évaluation centralisées automatisent les tâches critiques nécessaires pour détecter, quantifier et corriger rapidement les risques liés aux vulnérabilités des fournisseurs, sans surcharger votre équipe.
Prochaines étapes
N'oubliez pas de télécharger le PDF intitulé « Évaluation de la vulnérabilité ProxyLogon du serveur Microsoft Exchange tiers ». Nous espérons que ce questionnaire vous permettra de vous assurer que vos fournisseurs et prestataires ont mis en place les contrôles nécessaires pour remédier à cette vulnérabilité critique.
Étant donné que les cyberattaques ciblant cette vulnérabilité ont évolué pour inclure les ransomwares, veillez à télécharger également l'évaluation gratuite des ransomwares de Prevalent afin d'identifier les lacunes immédiates qui pourraient avoir un impact sur la capacité de votre organisation à réagir à des menaces similaires.
Une fois que la poussière sera retombée, n'oubliez pas que Prevalent propose une plateforme tierce de gestion des risques qui comprend plus de 60 modèles de questionnaires destinés à vous aider à automatiser les tâches fastidieuses d'évaluation des fournisseurs, et qui complète les résultats par une surveillance continue des cyberattaques et des violations. Contactez-nous dès aujourd'hui pour planifier une session stratégique.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
