Sémafor Conseil croit que les problèmes de sécurité des serveurs Exchange sont extrêmement sérieux et désire faire quelques recommandations :
Sémafor Conseil désire informer ses partenaires et clients qu’une situation qui demande une attention immédiate existe, affectant les serveurs Microsoft Exchange.
Le2 Mars 2021, Microsoft a publié des patches pour colmater des vulnérabilités de Microsoft Exchange. Microsoft avait été mis au courant de l’existence des vulnérabilités au début du mois de janvier 2021 soit environ 2 mois avant la mise en disponibilité des patches. Ces vulnérabilités ont commencé à être exploitées par des groupes malicieux dès le début janvier. De telles vulnérabilités qui sont exploitables alors qu’aucun patche n’est disponible, sont communément appelées des vulnérabilités de type “zero-day” ou vulnérabilités du jour 0 en Français. Ce sont les vulnérabilités les plus dangereuses car il est difficile de s’en protéger.
Il a été observé que ces vulnérabilités permettaient à un pirate informatique de prendre le contrôle à distance d’un serveur Exchange, lorsque les bonnes conditions sont présentes. Étant donné l’impact d’une exploitation de ces vulnérabilités, elles ont été catégorisées comme critiques. C’est-à-dire que les patches doivent être installés le plus rapidement possible. Le 8 Mars, Bloomberg estimait que plus de 60.000 clients de Microsoft utilisant Exchange ont été piratés via ces vulnérabilités et qu’à cette date il y avait plus de 125.000 serveurs Exchange vulnérables (non patchés) à travers le monde. C’est donc dire que l’exploitation de ces vulnérabilités est largement répandue.
Ces vulnérabilités affectent les versions 2003, 2007, 2010, 2013, 2016 et 2019 des serveurs Exchange. Microsoft a mis à jour Exchange Online qui est la version cloud de Exchange et les utilisateurs de Exchange Online n’ont donc rien à installer.
Pour faciliter le déploiement des patches, Microsoft a rendu un outil disponible qui peut être téléchargé sur le site web de Microsoft. Cet outil, quoique pratique, est destiné à être utilisé par des experts n’est aucunement convivial pour le commun des mortels.
Le 13 avril 2021, Microsoft a publié de nouveaux patches pour une nouvelle vague de vulnérabilités affectant les serveurs Exchange. Ces vulnérabilités sont catégorisées comme critiques elles aussi. Les patches pour colmater ces vulnérabilités peuvent être téléchargés sur le site web de Microsoft dans la section des patches du 13 Avril.
Sémafor Conseil croit que les problèmes de sécurité des serveurs Exchange sont extrêmement sérieux et désire faire quelques recommandations:
1- Les patches pour les vulnérabilités du 2 Mars devraient être téléchargés et installés de toute urgence.
2- Les patches pour les vulnérabilités du 13 Avril devraient être téléchargés et installés de toute urgence.
3- Si vous n’avez pas d’expert sur place pour faire la gestion de sécurité de vos serveurs Exchange :
a) Considérez souscrire à un service de gestion externe ou faire appel à un consultant qui prendra soin de déployer les patches pour vous.
b) Alternativement, considérez migrer vers la solution Exchange Online (Office 365) de Microsoft qui est entièrement gérée par Microsoft.
